
Votre métier Marketing & commercial \| Ressources humaines \| Finance \| Communication \| Juridique \| Associations

> Flash conseils > Consulter > Flash du 15-01-2010

Toutes nos infos
	Solutions :
	•	Forfaits tout compris
	•	Traitements à la carte
	•	Par métiers
	Datalgo :
	•	Tarifs et abonnements
	•	Fonctionnement
	•	Savoir faire
	•	Confidentialité
	Newsletter :
	Flash conseil gratuit
	•	S'abonner
	•	Consulter
	Recherche rapide :
	•

Protégez vos données

15-01-2010 • La protection des données de l’entreprise est non seulement une nécessité, mais elle est également un devoir. De récentes erreurs de protection ont été l’occasion pour la CNIL de mesurer toute la portée de la Loi Informatique et Libertés.

Constat >

SIREN

Vérifiez vos codes

à partir de

69^€

Le Canard Enchainé du 30 décembre 2009 mettait la CNIL sur le grill. En effet, la sécurité du site Internet de l'Association des correspondants informatique et libertés (AFCDP) comportait une faille de sécurité importante : un internaute a pu accéder à des données personnelles qui n’étaient pas les siennes dans une partie – mal – protégée du site. Il a pu lire les coordonnées normalement non accessibles des membres de l’association ainsi que les messages échangés entre eux. Selon le président de l’association contactée par le journal 01-Net, le bug a pu être corrigé dans les deux heures, mettant fin à une erreur digne de l’arroseur arrosé. En effet, l’article 34 de la loi Informatique et Libertés demande aux entreprises, en tant que responsables des informations qu'elles recueillent, de garantir la sécurité des informations personnelles contenues dans leurs bases de données. Effectivement, la loi impose qu’aucun tiers ne puisse avoir accès à la base de données sans y être autorisé.

Les entreprises qui partagent les données personnelles de leurs clients – par exemple sous forme de lettre d’information – doivent s’assurer que les informations ne sont pas accessibles facilement. Il s’agit autant d’un devoir que d’une forme de mise en confiance nécessaire à toute relation commerciale. On le voit au travers de cet exemple qui touche directement une association dont la vocation est de contribuer à la protection des données personnelles : la réputation de l’organisme – ici cette association – entache l’image de l’institution CNIL par des effets de bord. La commission précise d’ailleurs que la protection de son « patrimoine numérique est une nécessité pour une entreprise ». D’abord parce qu’il s’agit d’informations personnelles, bien sûr, mais aussi pour des raisons d'image. « Une faille de sécurité peut donner une très mauvaise réputation à une entreprise, précise la CNIL, dont l'impact économique pourra être bien supérieur à la valeur même des données perdues. »

Objectif >

S’assurer d’une bonne protection des données.

Méthode >

La protection des données de l’entreprise peut s’appuyer sur quatre leviers destinés dès la conception des bases à limiter les possibilités de failles sécuritaires.

Structuration

Mises à jour
groupées
de données

Mettez de l'ordre
dans vos données

à partir de

79^€

Définir une politique de sécurité

La première étape à mettre en place consiste à formaliser dans un document écrit les règles de gestion de la sécurité des données personnelles. Cette formalisation pourra s’appuyer sur une phase préalable d’audit des différentes bases existantes ou projets en cours de développement. Ce document devra être systématiquement rappelé à l’origine de tout projet de développement informatique. En inscrivant en amont du projet de développement l’aspect sécuritaire, on limite fortement les coûts de mise en conformité a posteriori – qui sont généralement supérieurs.

Réaliser des tests

Les tests d’intrusion pourront être réalisés par des équipes averties des différentes options généralement utilisées pour forcer les accès. Cela peut aller de l’utilisation de mots de passe simplistes, jusqu’à l’insertion de requêtes SQL complexes à l’intérieur d’un champ de l’application, permettant alors d’ouvrir de nouvelles portes dans le logiciel. Cela dit, il est fortement recommandé dès la conception, et jusque dans la phase de test d’intrusion de ne mettre en ligne que des données parfaitement anonymes.

Former les utilisateurs

Il ne suffit naturellement pas d’écrire des règles, encore faut-il qu’elles soient régulièrement partagées avec les utilisateurs au travers de communications particulières et de formations. Les collaborateurs de l’entreprise n’imaginent pas toujours les conséquences qu’une faille peut avoir sur l’image de l’entreprise et le coût de l’information subtilisée. En les sensibilisant, on les invite naturellement à être vigilants dans leurs différentes démarches.

Etre rigoureux avec les tiers

Les données sont un bien immatériel tellement facile à transmettre ou partager, que certaines failles tiennent parfois de mauvaises conditions d’échanges de données avec des parties prenantes d’un traitement. Il peut ainsi s’agir d’un défaut de sécurité d’un partenaire ou fournisseur à qui vous confiez vos données, mais il peut également s’agir d’un échange ponctuel de fichiers, par exemple par email. Il sera nécessaire d’avoir recours à un chiffrement des fichiers avant transmission ou stockage pour s’assurer qu’ils ne puissent être facilement lisibles par une autre personne que son destinataire. Naturellement, il appartient à l’entreprise de sensibiliser son prestataire pour qu’il lui retourne le fichier traité avec le même niveau de sécurité.

Solutions
Datalgo >

Contrôler la qualité de ses données

Datalgo peut réaliser un audit de votre base de données afin de détecter d'éventuelles zones de risques concernant les lois informatique et libertés :

Audit complet d'une base de données

Consultez-nous pour vos demandes complexes ou pour être mis en relation avec un juriste spécialisé.

Abonnez-vous pour recevoir régulièrement les flashs conseils Datalgo.
Consultez les anciens flashs Datalgo.
Insérez les flashs Datalgo sur votre site au format .