RGPD : une affaire de tous ?

Entré en vigueur depuis le 25 mai dernier, le RGPD impose aux entreprises et organisations la mise en oeuvre de "mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque" (article 32 du règlement Europe 2016/769 du 27 avril 2016).

Le Règlement Européen de Protection des Données personnelles encadre le traitement et la conservation des données personnelles utilisées par les entreprises.
Un réseau interne sécurisé en 4 points
Une façon de garantir au mieux la sécurité du système d’information est de contrôler les points d’accès de leurs équipements connectés, constituant chacun un point potentiel de vulnérabilité.Maîtrise de la sécurité des postes de travail et des équipements fournis par l’entreprise ou l’organisation : mise à jour des antivirus, contrôle de l’obsolescence des systèmes d’exploitation, installation  d’un pare-feu logiciel, automatisation des mises à jour logicielles, limitation du recours à des supports mobiles tels que les clés USB.Séparation des réseaux internes d’accès Wi-Fi : mise en place d’un réseau Wi-Fi “invité” dédié et étanche pour le personnel utilisant des équipements privés ainsi que les visiteurs.Solution VPN : garantir au personnel itinérant l’accès à distance aux données de l’entreprise.Sécurisation par port des équipements réseaux : désactivation des ports non utilisés dans les bureaux vacants, par exemple, afin d’empêcher la connexion filaire d’un équipement étranger sur le réseau, et ajout d’une authentification des utilisateurs à la connexion via un réseau 802.1x.Souvent, l’architecture du réseau interne est vue comme étant une multiprise permettant d’interconnecter les utilisateurs et les ressources informatiques. Une des solutions les plus simples est de séparer les réseaux en autant de sous-réseaux pour isoler les utilisateurs des ressources auxquelles ils ne doivent pas accéder, permettant ainsi de réduire considérablement les risques de points de vulnérabilité. C’est pourquoi il est important de raisonner par segmentation le réseau dès sa conception. 

Sensibiliser les utilisateurs
Les utilisateurs du réseau interne vont le plus souvent privilégier la commodité plutôt que la sécurité informatique de l’entreprise ou de l’organisation. Il est alors important de les sensibiliser à la politique de connexion Wi-Fi de l’entité afin de limiter au maximum la prise de risque. Pour cela, une des solutions est la formation en continu des utilisateurs sur les enjeux de sécurité, les règles à respecter et les bonnes pratiques élémentaires en terme de sécurité informatique. 

Un autre recours à la protection des ressources et données sensibles de l’entité est de mettre en place une politique forte pour les mots de passe. L’accès à ces données se réalise alors via un identifiant personnel et un mécanisme d’authentification (mot de passe, carte à puce ou biométrie telle qu’une empreinte digitale). Concernant les mots de passe, ceux-ci doivent être robustes et complexes, comme le préconise la CNIL : au moins 12 caractères et 4 types différents (des minuscules, des majuscules, des chiffres et des caractères spéciaux), aucun rapport avec l’utilisateur (date de naissance, nom de l’animal de compagnie, etc), unique à chaque plateforme ou outil nécessitant une authentification. La programmation du renouvellement périodique du mot de passe est à la fois pertinente et raisonnable. 

Aujourd’hui, chaque entreprise ou organisation utilise des supports informatiques pour le traitement des données à caractère personnel, que ce soit en termes de matériel, de logiciel ou de canaux de communication. En tant que canal de communication permettant le transit des données personnelles entre les divers matériels et services, le réseau informatique doit faire l'objet de mesures techniques pour accompagner la mise en conformité au RGPD. En plus de ces recommandations, il est également conseillé de réaliser une charte informatique qui deviendra alors un document de référence pour les utilisateurs. Celle-ci comprend les règles de sécurité auxquelles ils doivent se conformer, les modalités d’utilisation et les conditions d’administration du système d’information.