Je vous propose de vérifier votre conformité réglementaire par un audit RGPD.

Ceci ne vous concerne pas, êtes-vous certain ?

Cet audit RGPD se base sur la réglementation en cours, il permet de vous donner un état des lieux concret de votre système d’information, de mettre en évidence les écarts de conformité et d’avoir les recommandations expertes les plus utiles à votre contexte.

Une approche organisationnelle est également abordée ainsi que des tests techniques s’il le faut. Un livrable vous sera communiqué, ainsi que tous les conseils d’amélioration de la sécurité de votre SI.

Pour éviter les sanctions de la CNIL, de bonnes pratiques informatiques sont nécessaires. Tous les aspects sont concernés : Gouvernance, utilisateurs, infrastructure, WIFI… Contactez-moi pour de plus amples détails.

Au délà de cet audit RGPD, un accompagnement sur la politique de sécurité de votre SI peut vous être proposé, ainsi qu’un scan de vulnérabilités et une analyse des risques cyber.

Depuis le 25 Mai 2018, le règlement général sur la protection des données (RGPD), fournit un cadre juridique sur la responsabilité, en matière de protection des données en Europe, pour les entreprise et collectivités.

Les délégués à la protection des données (DPD) seront au cœur de ce nouveau cadre juridique pour de nombreux organismes, et aideront à la conformité avec les dispositions du RGPD.

Les principaux objectifs du RGPD sont d’accroître à la fois la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement. Ces principes pourront être appliqués grâce à l’augmentation du pouvoir des autorités de contrôle…

En France, le RGPD s’applique à toute organisation publique ou privée qui traite des données personnelles. Elle doit pouvoir garantir et prouver leur conformité (en documentant), ceci concerne aussi tous leurs sous-traitants. Les données personnelles doivent faire l’objet de mesures de sécurité particulière (Guide CNIL)

Au delà de la partie juridique, ce règlement impose de bonnes pratiques techniques dans l’exploitation sur l’ensemble de votre système d’information. Un audit de sécurité vous permettra de connaître l’état de maturité et de sécurité de votre SI ainsi que les actions à réaliser afin d’être conforme à la réglementation en vigueur.

En cas de non-respect, des sanctions financières pourront aller jusqu’à 4 % du chiffre d’affaires.

1. Désigner un pilote  : Le délégué à la protection des données, le DPD (DPO) – Conseil, suivi, pilotage
2. Cartographier vos traitements de données personnelles : Liste des données, objectifs et  leurs traitement
3. Prioriser les actions à mener
4. Gestion des risques
5. Organisation de procédures internes : devancer les failles et dysfonctionnements
6. Documenter : Il faut prouver cette conformité par une documentation adaptées et actualisée

Veuillez trouver un guide réalisé par la CNIL…

Demandez un audit RGPD pour la sécurisation de votre SI. Ceci est nécessaire pour connaître son SI, points forts et points faibles et les actions de remédiations possibles.

KeePassxc – Ubuntu 20.04 LTS :

Le programme KeePassXC  – Ubuntu, (famille KeePaas V.2) est un logiciel open source qui joue le rôle de « coffre-fort » de mots de passe qu’il stocke dans une base de données dont l’accès est authentifié et le contenu chiffré.

Réputé avec des algorithme fiables et certifié (NSA, ANSSI...) ce logiciel reste néanmoins fragile aux failles humaines. Cette application devient une cible de sécurité pour de nombreuses attaques.

Il est vrai qu’il existe quelques logiciels qui sont là pour casser votre mot de passe principal de KeePassXC, le fameux mot de passe maître, et ainsi donner un accès complet à la base de données. Lors de la création de la base de donnée, veillez à utiliser un lecteur déjà chiffré par le système, et/ou du moins utiliser une phrase de passe FORT ! Laisser par défaut les paramètres de chiffrement (AES 256 bits). Un fichier clé en plus peut-être utilisé comme SALT, qu’il ne faudra pas perdre ou modifier !

L’ANSSI recommandait ainsi en 2012 une taille minimale de 12 caractères, pour 3 classes de caractères, qu’il faudrait sans doute réactualiser pour tenir compte de l’évolution des moyens de calculs disponibles.

A la veille de l’informatique quantique, la tendance est déjà plutôt l’utilisation d’une phrase complète !

La conception d’un système d’information sécurisé (cybersécurité) ne se résume pas uniquement à l’implémentation de mesures techniques pour être en conformité réglementaire.

Il s’agit en plus de la protection des infrastructures, de protéger les personnes et les biens. L’organisation de l’entreprise et de ses différentes composantes et services doit permettre de prendre des décision stratégiques importantes pour cette maîtrise des risques.

Le défi de la cybersécurité est souvent celui d’expliquer et de convaincre les directions de déployer une politique globale de la sécurité.

C’est pour cela qu’il est nécessaire d’identifier clairement les valeurs à protéger ainsi que les risques inhérents au système d’information afin de déterminer les besoins de sécurité et les moyens de les satisfaire. Ce patrimoine numérique doit être identifier selon un périmètre précis.

Outre les mesures de sécurité proactives de protection des valeurs, il est tout aussi important de prévoir des mesures réactives pour pallier à la survenue d’incidents non sollicités, qu’ils soient d’origine criminelle ou accidentelle. Les outils de sécurité doivent être accompagnés par des procédures d’exploitation et de gestion, avec un personnel formé à ces mesures et exigences. (ISO 2700x, RGPD, RGS…)

Le tableau ci-dessous doit permettre d’avoir un vision globales sur les capacités d’un SI, les objectifs et les moyens ded sécurité.

Réf. : Cybersécurité – Analyser les risques et mettre en œuvre les solutions S. Ghernaouti