J2R informatique Pour les particuliers et les professionnels

RGPD

camenbert Remplir les exigences de la RGDP repose à 80 % sur des questions juridictionnelles et organisationnelles.

Qu'est-ce que la RGPD ?

Le règlement européen sur la protection des données (RGPD) a été adopté par le parlement européen en avril 2016. Il organise la modernisation et l'uniformisation des lois sur la protection des données au niveau européen.

Quand ?

La date d'entrée en vigueur était le 24 mai 2016. Pour donner aux entreprises le temps de s'adapter au nouveau règlement, un délai transitoire jusqu'au 25 mai 2018 a été accordé.

Les Objectifs ?

  • Renforcer la protection des données personnelles des citoyens européens
  • Inciter les sociétés à être vigilantes avec les informations qu'elles possèdent et qu'elles exploitent
  • Tenir un registre de traitement de données
  • Notifier l'autorité nationale en cas de fuite (obligatoire sous 72H)

Qu'est-ce qu'une donnée personnelle ?

La Loi Informatique et Libertés du 6 Juillet 1978 définie une donnée à caractère personnel, toute donnée susceptible de pouvoir identifier une personne physique :

  • Le nom, prénom et l'adresse d'une personne, une date de naissance,
  • Une adresse IP,
  • Une fonction dans une entreprise, de numéro SIREN
  • Une adresse email, un numéro de téléphone,
  • Un numéro de carte bancaire,
  • Des informations biométriques telles qu'une empreinte digitale, rétinienne, faciale, d'ADN,
  • Des informations sur un état mental ou de santé, un numéro de sécurité sociale, de carte d'identité, de permis de conduire ou de passeport, un numéro d'immatriculation,
  • Un diplôme, appartenance religieuse ou appartenance politique, etc.

Qui est concerné ?

Toutes les entreprises (quelle que soit leur taille) qui possèdent des données sur les citoyens européens qu'elles soient situées en France ou dans le monde.

Sanctions

La nouveauté réside dans le montant élevé des amendes (Jusqu'à 20 millions d'Euros ou 4% du chiffre d'affaires mondial de l'entreprise) dans le cas où les autorités de la protection des données constateraient une infraction (divulgation accidentelle, perte ou le vol d'une base de données).

Le non-respect de l'obligation de notification conduit elle aussi à une amende.

 

 

Quelle solution pour la RGDP ?

Designer un pilote (DPO)

Le délégué à la protection des données a une mission d'information, de conseil et de contrôle en interne.

Obligatoire pour :

Organisme public, ou entreprise gérant des données sensibles à grande échelle.

Cartographier

Recenser de façon précise vos traitements de données personnelles.

L’élaboration d’un registre des traitements vous permet de faire le point.

Prioriser

Identifiez les actions à mener pour vous conformer aux obligations et priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.

Gérer les risques

Mener pour chacun de ces traitements, une analyse d’impact sur la protection des données (PIA) : chiffrement, sauvegarde, contrôler les accès, lutter contre les vulnérabilités.

Organiser

Mettre en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte des événements qui peuvent survenir sur la durée.

Documenter

Prouver la conformité au règlement, en regroupant la documentation nécessaire, qui doit être réexaminé et actualisé régulièrement pour assurer une protection des données en continu.

 

Objectifs généraux d'une politique de sécurité

« La sécurité informatique vise à protéger l'intégrité et la confidentialité des informations stockées dans un système informatique »

La sécurité informatique a plusieurs objectifs :

  • Empêcher la divulgation non-autorisée de données
  • Empêcher la modification non-autorisée de données
  • Empêcher l’utilisation non-autorisée de ressources réseau ou informatiques de façon générale

Les différents types de menaces

hacker Hacker

  • Spoofing (Man-Into-The-Middle)
  • Rootkit
  • Keylogger
  • Trojan
mail-send-receive Messagerie

  • Virus / Ransomware
  • Spam
  • Adware
  • Spyware
  • Trojan
  • Ver

Phishing (imitation de courrier officiel)

usbkey Fuite de données

& « contagion »

via supports amovibles (type clés USB)

mask Usurpation d'identité

  • Social Engineering
  • Arnaque au Président
door Backdoor

Exploit

Vulnérabilité Jour Zéro

 phishing  

 

Phishing

download-package Surf / Téléchargement

  • Virus
  • Adware
  • Spyware
  • Trojan
  • Ver
  • Phishing (formulaire)
 robot  

 

Attaque DDoS

Botnet

 

tabvirus-copie

 

Exemple d'infrastructure sécurisée

 

rgdp-pres

 

 

Protéger son infrastructure consiste en la mise en place de moyens techniques et logiciels adaptés, mais aussi par le respect des règles de bonnes pratiques de l'ensemble des personnels de l'entreprise.

  1. Mots de passe forts et remplacé régulièrement (sur périphérique également, pas de root ou admin)
  2. Mise à jour régulière des logiciels
  3. Lister ses utilisateurs et ses prestataires
  4. Sauvegardes régulières
  5. Sécurisation de l'accès Wi-Fi de votre entreprise
  6. Chiffrage des smartphone, tablette et ordinateur
  7. Prudence à l'utilisation de la messagerie
  8. Téléchargement de programmes sur les sites officiels des éditeurs
  9. Être vigilant lors d'un paiement sur Internet
  10. Séparation des usages personnels et professionnels
  11. Vérification et surveillance de ses informations personnelles, professionnelles et de son identité numérique