|
|
Définition
|
Exemple
|
|
Chiffrement |
conversion des données d'un format lisible à un format codé qui peut uniquement être lu ou traité après déchiffrement. |
outils de messagerie sécurisés ou https |
|
Cloisonnement des données
|
partage contrôlé de l'information, le fait qu'un individu A ne puisse pas voir des informations réservées à une population B |
Accès de données propres à chaque métier (matrice de gestion des droits) Identité dans un base différente des données de santé |
|
Contrôle des accès logiques
|
système de contrôle d'accès à un système d'information et permet de restreindre le nombre d’utilisateurs du système d’information | système de contrôle d'accès à un système d'information et permet de restreindre le nombre d’utilisateurs du système d’information. |
|
Traçabilité
|
capacité à assurer l'enregistrement et l'imputabilité des consultations et actions des utilisateurs du traitement, afin de pouvoir fournir des preuves dans le cadre d'enquêtes |
Signature électronique |
|
Contrôle d'intégrité
|
Solution permettant d’ être alerté en cas de modification non désirée ou de disparition de données à caractère personnel |
mesures d'analyse permettant de vérifier que les données sources non pas été altérée : contrôle de parité, algorithme de hachage |
|
Archivage
|
stockage à long terme de documents et données numériques. |
serveur de stockage réseau NAS différent de l’environnement de production |
|
Sécurisation des documents papier
|
Solution limitant les risques que des personnes non autorisées accèdent aux documents papiers contenant des données à caractère personnel |
Mention « pli confidentiel » |
|
Lutte contre les logiciels malveillants
|
Solution permettant de protéger les accès vers des réseaux publics (Internet) ou non maîtrisés (partenaires), ainsi que les postes de travail et les serveurs contre les codes malveillants qui pourraient affecter la sécurité des données à caractère personnel |
Antivirus |
|
|
Définition
|
Exemple |
|
Gestion des postes de travail
|
Solution permettant de diminuer la possibilité que les caractéristiques des logiciels ne soient exploitées pour porter atteinte aux données à caractère personne |
Protéger les postes peu volumineux, donc susceptibles d'être facilement emportés, et notamment les ordinateurs portables, à l'aide d'un câble physique de sécurité, |
|
Sécurité des sites web
|
Solution pour prévenir l’exploitation des sites web pour porter atteinte aux données à caractère personnel |
Téléservice conforme au référentiel général de sécurité (RGS). |
|
Sauvegardes
|
opération qui consiste à dupliquer et à mettre en sécurité les données contenues dans un système informatique |
Sauvegarde sur serveur |
|
Maintenance
|
toutes les tâches permettant de limiter la vraisemblance des menaces liées aux opérations de maintenance sur les matériels et logiciels |
Encadrer par un contrat de sous-traitance la réalisation des opérations de maintenance |
|
Sécurité des canaux informatiques (réseaux)
|
Solution pour prévenir les types d'attaques contre les réseaux |
réseaux virtuels (VLAN), Firewall,… |
|
Surveillance
|
Détection des incidents concernant des données à caractère personnel de façon précoce, et de disposer d'éléments exploitables pour les étudier ou pour fournir des preuves dans le cadre d'enquête |
Horodatage, Analyse en temps réel des activités « anormales » |
|
Contrôle d’accès physique
|
système de contrôle d'accès à des locaux et permet de restreindre le nombre d’utilisateurs du système d’information. |
Identification par badge pour l’accès aux locaux sécurisés |
|
Sécurité des matériels
|
Solution permettant d’empêcher l’exploitation des matériels pour porter atteinte aux données à caractère personnel |
inventaire des ressources informatiques, Anti-Vol |
|
Éloignement des sources de risques
|
Solution permettant d’éviter que des sources de risques, humaines ou non humaines, portent atteinte aux données à caractère personnel |
Placer les produits dangereux dans des lieux de stockage appropriés et éloignés de ceux où sont traitées des données. |
|
|
Définition | Exemple |
|
Protection contre les sources de risques non humaines
|
Solution permettant de réduire ou éviter les risques liés à des sources non humaines qui pourraient affecter la sécurité des données à caractère personnel |
Moyens de prévention, détection et protection contre l'incendie. |
|
Organisation
|
Solution assurant une organisation apte à diriger et contrôler la protection des données à caractère personnel au sein de l'organisme |
Définir les rôles, responsabilités et interactions entre toutes les parties prenantes dans le domaine « Informatique et libertés » |
|
Gestion des projets
|
Prise en compte la protection des données à caractère personnel dans tout nouveau traitement |
Effectuer les formalités CNIL avant le lancement d'un nouveau traitement. |
|
Relations avec les tiers |
Solution permettant de réduire les risques que les accès légitimes aux données par des tiers peuvent faire peser sur les libertés et la vie privée des personnes concernées |
Déterminer les responsabilités respectives en fonction des risques |
|
Supervision
|
Vision globale et à jour de l'état de protection des données et de la conformité à la loi informatique et libertés |
audit « Informatique et libertés », SIEM, Incident Détection System |