Je vous propose de vérifier votre conformité réglementaire par un audit RGPD.

Ceci ne vous concerne pas, êtes-vous certain ?

Cet audit RGPD se base sur la réglementation en cours, il permet de vous donner un état des lieux concret de votre système d’information, de mettre en évidence les écarts de conformité et d’avoir les recommandations expertes les plus utiles à votre contexte.

Une approche organisationnelle est également abordée ainsi que des tests techniques s’il le faut. Un livrable vous sera communiqué, ainsi que tous les conseils d’amélioration de la sécurité de votre SI.

Pour éviter les sanctions de la CNIL, de bonnes pratiques informatiques sont nécessaires. Tous les aspects sont concernés : Gouvernance, utilisateurs, infrastructure, WIFI… Contactez-moi pour de plus amples détails.

Au délà de cet audit RGPD, un accompagnement sur la politique de sécurité de votre SI peut vous être proposé, ainsi qu’un audit de votre active directory ou un scan de vulnérabilités avec une analyse des risques cyber.

Depuis le 25 Mai 2018, le règlement général sur la protection des données (RGPD), fournit un cadre juridique sur la responsabilité, en matière de protection des données en Europe, pour les entreprise et collectivités.

Les délégués à la protection des données (DPD) seront au cœur de ce nouveau cadre juridique pour de nombreux organismes, et aideront à la conformité avec les dispositions du RGPD.

Les principaux objectifs du RGPD sont d’accroître à la fois la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement. Ces principes pourront être appliqués grâce à l’augmentation du pouvoir des autorités de contrôle…

En France, le RGPD s’applique à toute organisation publique ou privée qui traite des données personnelles. Elle doit pouvoir garantir et prouver leur conformité (en documentant), ceci concerne aussi tous leurs sous-traitants. Les données personnelles doivent faire l’objet de mesures de sécurité particulière (Guide CNIL)

Au delà de la partie juridique, ce règlement impose de bonnes pratiques techniques dans l’exploitation sur l’ensemble de votre système d’information. Un audit de sécurité vous permettra de connaître l’état de maturité et de sécurité de votre SI ainsi que les actions à réaliser afin d’être conforme à la réglementation en vigueur.

En cas de non-respect, des sanctions financières pourront aller jusqu’à 4 % du chiffre d’affaires.

1. Désigner un pilote  : Le délégué à la protection des données, le DPD (DPO) – Conseil, suivi, pilotage
2. Cartographier vos traitements de données personnelles : Liste des données, objectifs et  leurs traitement
3. Prioriser les actions à mener
4. Gestion des risques
5. Organisation de procédures internes : devancer les failles et dysfonctionnements
6. Documenter : Il faut prouver cette conformité par une documentation adaptées et actualisée

Veuillez trouver un guide réalisé par la CNIL…

Demandez un audit RGPD pour la sécurisation de votre SI. Ceci est nécessaire pour connaître son SI, points forts et points faibles et les actions de remédiations possibles.

KeePassxc – Ubuntu 20.04 LTS :

Le programme KeePassXC  – Ubuntu, (famille KeePaas V.2) est un logiciel open source qui joue le rôle de « coffre-fort » de mots de passe qu’il stocke dans une base de données dont l’accès est authentifié et le contenu chiffré.

Réputé avec des algorithme fiables et certifié (NSA, ANSSI...) ce logiciel reste néanmoins fragile aux failles humaines. Cette application devient une cible de sécurité pour de nombreuses attaques.

Il est vrai qu’il existe quelques logiciels qui sont là pour casser votre mot de passe principal de KeePassXC, le fameux mot de passe maître, et ainsi donner un accès complet à la base de données. Lors de la création de la base de donnée, veillez à utiliser un lecteur déjà chiffré par le système, et/ou du moins utiliser une phrase de passe FORT ! Laisser par défaut les paramètres de chiffrement (AES 256 bits). Un fichier clé en plus peut-être utilisé comme SALT, qu’il ne faudra pas perdre ou modifier !

L’ANSSI recommandait ainsi en 2012 une taille minimale de 12 caractères, pour 3 classes de caractères, qu’il faudrait sans doute réactualiser pour tenir compte de l’évolution des moyens de calculs disponibles.

A la veille de l’informatique quantique, la tendance est déjà plutôt l’utilisation d’une phrase complète !

La conception d’un système d’information sécurisé (cybersécurité) ne se résume pas uniquement à l’implémentation de mesures techniques pour être en conformité réglementaire.

Il s’agit en plus de la protection des infrastructures, de protéger les personnes et les biens. C’est pourquoi l’organisation de l’entreprise et de ses différentes composantes doit permettre de prendre des décisions stratégiques importantes pour une réelle et efficace maîtrise des risques.

Le défi de la cybersécurité est souvent celui d’expliquer et de convaincre les directions de déployer une politique globale de la sécurité.

C’est pour cela qu’il est nécessaire d’identifier clairement les valeurs à protéger ainsi que les risques inhérents au système d’information afin de déterminer les besoins de sécurité et les moyens de les satisfaire. Ce patrimoine numérique doit être identifier selon un périmètre précis.

Outre les mesures de sécurité proactives de protection des valeurs, il est tout aussi important de prévoir des mesures réactives pour pallier à la survenue d’incidents non sollicités, qu’ils soient d’origine criminelle ou accidentelle. Les outils de sécurité doivent être accompagnés par des procédures d’exploitation et de gestion, avec un personnel formé à ces mesures, normes, exigences et cadres réglementaires. (ISO 2700x, RGPD, RGS…)

Le tableau ci-dessous doit permettre d’avoir une vision globale sur les capacités, les objectifs et les moyens de sécurité d’un système d’information

Réf. : Cybersécurité – Analyser les risques et mettre en œuvre les solutions S. Ghernaouti

Afin de mieux comprendre ces exigences, vous trouverez des guides sur les bonnes pratiques de sécurité informatique sur le site de l’ANSSI (Agence Nationale de la Sécurité des Système d’Information) : https://www.ssi.gouv.fr/administration/bonnes-pratiques/

Une défense en profondeur implique une bonne infrastructure (LANs, VLANs, DMZs…), une bonne gestion des identités, des accès réseaux et des périphériques utilisateurs maîtrisés, un durcissement des OS serveurs, poste de travail et autres actifs et des systèmes à jour, des protocoles fiables, des flux chiffrés avec des algorithmes robustes…

Tout ceci passe par une bonne connaissance de son système d’information, une documentation et des procédures à jour, une connaissance des données sensibles à protéger et des risques les plus probables et/ou impactants.

Et bien évidemment, des plans d’action pour assurer la résilience avec des sauvegardes et des restaurations régulièrement testées.