une_abc_ete

C’est l’été, le temps des départs en vacances est proche. Tout comme l’entretien de vos locaux, de vos bureaux, il est bon de vérifier votre informatique, vos S.I.. Veiller que l’ensemble soit opérationnel et en bon état pour s’assurer une rentrée de septembre en douceur. Le conseil ABC Informatique est de rappeler certaines règles et de vérifier un ensemble de points de fonctionnement de vos équipements informatiques.


10 CONSEILS A SUIVRE :

Pour un conseil de qualité et complet, rien de mieux que de se référer à la CNIL (Commission nationale de l’informatique et des libertés) qui propose un ensemble de 10 conseils concernant la sécurité des systèmes d’information, la sécurité des données.

Ces dix conseils, qui sont bien sûr des rappels pourront sensiblement énerver les responsables informatique et autres DSI qui y verront une forme de rabâchage, mais ils ont été établis en fonction des différentes constatations et interventions de la CNIL. Preuve donc que certaines lacunes existent encore.

 

Les dix conseils de la CNIL pourront être consultés de manière plus développée sur cette page :

http://www.cnil.fr/les-themes/securite/fiche-pratique/article/10-conseils-pour-la-securite-de-votre-systeme-dinformation/

 

1. Adopter une politique de mot de passe rigoureuse

L’accès à un poste de travail informatique ou à un fichier par identifiant et mot de passe est la première des protections. Le mot de passe doit être individuel, difficile à deviner et rester secret. Il ne doit donc être écrit sur aucun support. Définir les comptes privilégiés ou à l’inverse, temporaires (pour les stagiaires par exemple).

 

2. Concevoir une procédure de création et de suppression des comptes utilisateurs

L’accès aux postes de travail et aux applications doit s’effectuer à l’aide de comptes utilisateurs nominatifs, et non « génériques » (compta1, compta2…)

3. Sécuriser les postes de travail

Les postes des agents doivent être paramétrés afin qu’ils se verrouillent automatiquement au-delà d’une période d’inactivité (10 minutes maximum) ; les utilisateurs doivent également être incités à verrouiller systématiquement leur poste dès qu’ils s’absentent de leur bureau.

 

4. Identifier précisément qui peut avoir accès aux fichiers

L’accès aux données personnelles traitées dans un fichier doit être limité aux seules personnes qui peuvent légitimement y avoir accès pour l’exécution des missions qui leur sont confiées. De cette analyse, dépend « le profil d’habilitation » de l’agent ou du salarié concerné.

 

5. Veiller à la confidentialité des données vis-à-vis des prestataires

Les interventions des divers sous-traitants du système d’information doivent présenter les garanties suffisantes en terme de sécurité et de confidentialité à l’égard des données auxquels ceux-ci peuvent, le cas échéant, avoir accès.

 

6. Sécuriser le réseau local

Un système d’information doit être sécurisé vis-à-vis des attaques extérieures. Il est nécessaire de vérifier l’état et l’implémentation des mises à jour des serveurs et postes de travail ainsi que la nécessaire mise à niveau des logiciels tout en restant informé sur les nouvelles vulnérabilités.

 

7. Sécuriser l’accès physique aux locaux

L’accès aux locaux sensibles, tels que les salles hébergeant les serveurs informatiques et les éléments du réseau, doit être limité aux personnes habilitées. Ces locaux doivent faire l’objet d’une sécurisation particulière : vérification des habilitations, gardiennage, portes fermées à clé, digicode, contrôle d’accès par badge nominatif, etc.

 

8. Anticiper le risque de perte ou de divulgation des données

La perte ou la divulgation de données peut avoir plusieurs origines : erreur ou malveillance d’un salarié ou d’un agent, vol d’un ordinateur portable, panne matérielle, ou encore conséquence d’un dégât des eaux ou d’un incendie. Il faut veiller à stocker les données sur des espaces serveurs prévus à cet effet et faisant l’objet de sauvegardes régulières

 

9. Anticiper et formaliser une politique de sécurité du système d’information

L’ensemble des règles relatives à la sécurité informatique doit être formalisé dans un document accessible à l’ensemble des agents ou des salariés.

 

10. Sensibiliser les utilisateurs aux « risques informatiques » et à la loi « informatique et libertés »

Le principal risque en matière de sécurité informatique est l’erreur humaine. Les utilisateurs du système d’information doivent donc être particulièrement sensibilisés aux risques informatiques liés à l’utilisation de bases de données. Cette sensibilisation peut prendre la forme de formations, de diffusion de notes de service, ou de l’envoi périodique de fiches pratiques.

 

L’équipe ABC INFORMATIQUE reste opérationnelle pendant toute la période estivale.
Si vous avez besoin d’un soutien ou d’une aide technique, n’hésitez pas à nous contacter ICI.