Modèle d'auditSécurité des données personnelles (simple)
CNILRGPDSécurité
Questionnaire permettant d'évaluer le niveau de sécurité des données personnelles issu du guide sécurité de la CNIL.
Version 1.0
1. Sensibiliser les utilisateurs
1.1. Avez-vous informé et sensibilisé les personnes manipulant les données ?
Sensibiliser les utilisateurs travaillant avec des données à caractère personnel aux risques liés aux libertés et à la vie privée, les informer des mesures prises pour traiter les risques et des conséquences potentielles en cas de manquement. Organiser une séance de sensibilisation, envoyer régulièrement les mises à jour des procédures pertinentes pour les fonctions des personnes, faire des rappels par messagerie électronique, etc.
1.2. Avez-vous rédigé une charte informatique ?
2. Authentifier les utilisateurs
2.1. Un identifiant unique est attribué à chaque salarié ?
2.2. Une politique de mot de passe conforme aux recommandations de la CNIL est-elle formalisée ?
Les recommandations de la CNIL : https://www.dastra.eu/fr/article/cybermois-la-cnil-va-mettre-a-jour-ses-recommandations-sur-les-mots-de-passe/37558
2.3. Il est prévu une obligation pour l’utilisateur à changer son mot de passe après réinitialisation ?
2.4. Existe-t-il une limite au nombre de tentatives d’accès à un compte ?
3. Gérer les habilitations
3.1. Une politique de gestion des habilitations est mise en oeuvre ?
3.2. Des profils d’habilitation sont définis ?
Définir des profils d’habilitation dans les systèmes en séparant les tâches et les domaines de responsabilité, afin de limiter l’accès des utilisateurs aux seules données strictement nécessaires à l’accomplissement de leurs missions.
3.3. La politique prévoit la suppression des permissions d'accès des utilisateurs dès qu'ils ne sont plus habilités à accéder à un local à une ressource informatique, ainsi qu’à la fin de leur contrat ?
3.4. La politique prévoit une revue annuelle des habilitations afin d’identifier et de supprimer les comptes non utilisés et
de réaligner les droits accordés sur les fonctions de chaque utilisateur.
4. Tracer les accès et gérer les incidents
4.1. Un système de journalisation est-il prévu ?
4.2. Une information des utilisateurs à la mise en place du système de journalisation est effectif ?
4.3. Une protection des équipements de journalisation et des informations journalisées est mis en place ?
4.4. Prévoyez-vous des procédures pour les notifications de violation de données à caractère personnel ?
5. Sécuriser les postes de travail
5.1. Avez-vous prévu une procédure de verrouillage automatique de session ?
5.2. Utilisez-vous des antivirus régulièrement mis à jour ?
5.3. Est-il installé un « pare-feu » (firewall) logiciel ?
5.4. Recueillez-vous l’accord de l’utilisateur avant toute intervention sur son poste ?
6. Sécuriser l'informatique mobile
6.1. Vous prévoyez des moyens de chiffrement des équipements mobiles ?
6.2. Faites-vous des sauvegardes ou synchronisations régulières des données ?
6.3. Exigez-vous un secret pour le déverrouillage des smartphones ?
7. Protéger le réseau informatique interne
7.1. Limitez-vous les flux réseau au strict nécessaire ?
7.2. Les accès distants des appareils informatiques nomades par VPN sont-ils sécurisés ?
7.3. Mettez-vous en œuvre le protocole WPA2 ou WPA2-PSK pour les réseaux Wi-Fi ?
8. Sécuriser les serveurs
8.1. Limitez-vous l’accès aux outils et interfaces d’administration aux seules personnes habilitées ?
8.2. Avez-vous installé les mises à jour critiques ?
8.3. Assurez-vous une disponibilité des données ?
9. Sécuriser les sites web
9.1. Utilisez-vous le protocole TLS ?
9.2. Vérifiez-vous sa mise en œuvre ?
9.3. Avez-vous vérifié qu'aucun mot de passe ou identifiant ne passe dans les url ?
9.4. Avez-vous contrôlé que les entrées des utilisateurs correspondent à ce qui est attendu ?
9.5. Mettez-vous un bandeau de consentement pour les cookies non nécessaires au service ?
10. Sauvegarder et prévoir la continuité d'activité
10.1. Effectuez-vous des sauvegardes régulières ?
10.2. Est-ce que vous stockez les supports de sauvegarde dans un endroit sûr ?
10.3. Avez-vous prévu des moyens de sécurité pour le convoyage des sauvegardes ?
10.4. Avez-vous prévu la continuité d'activité ?
10.5. Testez-vous régulièrement la continuité d'activité ?
11. Archiver de manière sécurisée
11.1. Mettez-vous en œuvre des modalités d’accès spécifiques aux données archivées ?
11.2. Détruisez-vous les archives obsolètes de manière sécurisée ?
12. Encadrer la maintenance et la destruction des données
12.1. Enregistrez-vous les interventions de maintenance dans une main courante ?
12.2. Les interventions par des tiers sont-elles encadrées par un responsable de l’organisme ?
12.3. Effacez-vous les données de tout matériel avant sa mise au rebut ?
13. Gérer la sous-traitance
13.1. Une clause spécifique dans les contrats des sous-traitants est-elle prévue ?
13.2. Prévoyez-vous les conditions de restitution et de destruction des données ?
13.3. Assurez-vous de l'effectivité des garanties prévues (audits de sécurité, visites, etc.) ?
14. Sécuriser les échanges avec d'autres organismes
14.1. Chiffrez-vous les données avant leur envoi ?
14.2. Est-ce que vous vous assurez qu'il s'agit du bon destinataire ?
14.3. Est-ce que vous transmettez le secret lors d'un envoi distinct et via un canal différent ?
15. Protéger les locaux
15.1. Avez-vous restreint les accès aux locaux au moyen de portes verrouillées ?
15.2. Avez-vous installé des alarmes anti-intrusion ?
15.3. Vérifiez-vous périodiquement les alarmes anti-intrusion ?
16. Encadrer les développements informatiques
16.1. Proposez-vous des paramètres respectueux de la vie privée aux utilisateurs finaux ?
16.2. Évitez-vous les zones de commentaires ou encadrez-les strictement ?
16.3. Avez-vous réalisé des tests sur des données fictives ou anonymisées ?
17. Utiliser des fonctions cryptographiques
17.1. Utilisez-vous des algorithmes, des logiciels et des bibliothéques reconnues ?
Utiliser un algorithme reconnu et sûr, par exemple, les algorithmes suivants :
SHA-256, SHA-512 ou SHA-3 comme fonction de hachage ;
HMAC utilisant SHA-256, bcrypt, scrypt ou PBKDF2 pour stocker les mots de passe;
AES ou AES-CBC pour le chiffrement symétrique ;
RSA-OAEP comme défini dans PKCS#1 v2.1 pour le chiffrement asymétrique ;
enfin, pour les signatures, RSA-SSA-PSS comme spécifié dans PKCS#1 v2.1.
17.2. Avez-vous conservé les secrets et les clés cryptographiques de manière sécurisée ?
Créé le:2021-11-08T11:41:23.4527951
Mis à jour le :2022-01-05T10:30:35.9548563
Licence : © Creative commons :
Attribution / Pas d'utilisation commerciale
CC-BY-NC
Attribution / Pas d'utilisation commerciale
CC-BY-NC
Auteur :
Nombre d'utilisations :91