Guide de la CNIL sur la sécurité des données personnelles
Date : 26 Octobre 2010
A l’occasion des Assises de la Sécurité, la CNIL a publié un guide concernant la sécurité des données personnelles. Ce guide a pour but d’aider les responsables informatiques à respecter la loi « Informatique et libertés » et à garantir la sécurité des données personnelles. Le présent article est une synthèse des recommandations de ce guide.
Contexte et présentation
Les données personnelles manipulées sont en effet de plus en plus nombreuses, et les menaces affectant les systèmes d’information prennent en parallèle une ampleur croissante (voir à ce sujet le Bilan Cert-IST 2009 des failles et attaques). Durant toute leur durée de vie, ces données doivent donc être protégées contre la perte de confidentialité, la perte d’intégrité, l’usurpation ou la perte pure et simple.
Organisation du guide
Le guide de la CNIL est constitué de 17 fiches permettant d’aider les responsables informatiques à évaluer le niveau de sécurité des données personnelles dans leur organisation.
Ces fiches sont divisées en trois sections indiquant les précautions élémentaires pour la sécurité des données, les choses à ne pas faire, ainsi qu’une section permettant au lecteur d’approfondir le sujet. Les thématiques abordées sont les suivantes : la gestion des risques, l’authentification des utilisateurs, la gestion des habilitations et la sensibilisation des utilisateurs, la sécurité des postes de travail, la sécurisation de l’informatique mobile, les sauvegardes et la continuité d’activité, la maintenance, la traçabilité et la gestion des incidents, la sécurité des locaux, la sécurité du réseau informatique interne, la sécurité des serveurs et applications, la sous-traitance, l’archivage, l’échange d’informations avec d’autres organismes, les développements informatiques, l’anonymisation et le chiffrement.
Exemples :
Les exemples suivants donnent un aperçu des fiches présentées dans ce guide.
Fiche n° 1 : Quels risques ?
Cette première fiche permet d’aider les responsables du traitement des données à prendre les mesures nécessaires pour protéger les données des risques éventuels qu’elles encourent.
La précaution élémentaire est de formaliser les risques dans un document complet, qui devra par la suite être mis à jour de manière régulière. Ce document doit recenser les données à caractère personnel et les traitements associés, en identifiant les supports sur lesquels reposent ces traitements. Les éventuels impacts sur la vie privée devront être identifiés, ainsi que les menaces et les risques, afin de mettre en œuvre les mesures de sécurité appropriées.
Trois choses sont en particulier déconseillées, à savoir mener seul une étude de risques, réaliser une étude trop détaillée et choisir des mesures inappropriées.
Plusieurs pistes permettent au lecteur d’aller plus loin, par exemple la mise en œuvre d’un budget sécurité, l’utilisation d’une méthode comme EBIOS, la formation des personnes chargées de l’étude de risques ou encore la réalisation d’un audit de sécurité.
Fiche n° 5 : Comment sécuriser l’informatique mobile ?
Cette fiche traite de la protection des données manipulées par les ordinateurs et téléphones portables, les clés USB et tout autre équipement mobile. Les risques liés à ces équipements ont bien été signalés dans le Bilan Cert-IST 2009 cité plus haut, il est donc primordial de sécuriser les données personnelles manipulées par ces équipements.
En précaution élémentaire, le guide recommande de chiffrer les espaces de stockage soit au niveau matériel, soit au niveau logique ou d’utiliser un chiffrement fichier par fichier ou enfin de créer des conteneurs chiffrés.
La chose à ne pas faire est de conserver des données personnelles dans ces équipements mobiles lors de séjour à l’étranger. Et le guide de rappeler les conseils édités par l’ANSSI dans son document intitulé « Passeport de conseils aux voyageurs ».
La section « Pour aller plus loin» recommande un verrouillage de l’équipement au bout d’un certain temps d’inactivité, ainsi que l’utilisation d’un dispositif de lecture d’empreintes digitales.
Fiche n° 8 : La traçabilité et la gestion des incidents
Un autre exemple intéressant en matière de données personnelles est celui de l’enregistrement des actions effectuées sur un système informatique. Ceci est en effet primordial en cas d’investigation sur incident (i.e. accès non autorisé à des données personnelles ou utilisation abusive de ces données).
La précaution élémentaire recommandée par la CNIL est donc la mise en place d’un système de journalisation fiable, permettant d’enregistrer les accès, les anomalies et les évènements de sécurité sur une période ne dépassant pas six mois.
La CNIL recommande, dans la section « ce qu’il ne faut pas faire », de ne pas utiliser ces données à d’autres fins que la bonne utilisation du système d’information.
La section « Pour aller plus loin » émet des recommandations sur la synchronisation des systèmes d’information et la prise en compte des vulnérabilités de sécurité pouvant affecter ces systèmes.
Fiche n° 15 : Les développements informatiques
Le dernier exemple que l’on retiendra est celui de la protection des données personnelles lors du développement d’applications informatiques.
Dans la section « Précautions élémentaires », la CNIL rappelle les principes de base en matière de sécurité dans le cadre de développements informatiques, à savoir la mise en place d’un environnement de développement distinct de l’environnement de production et la prise en compte de la sécurité dès la conception des applications. Ces principes sont connus depuis longtemps, mais encore souvent négligés.
La chose à ne pas faire est d’utiliser des données personnelles réelles pour le développement, ou alors de les anonymiser.
Pour aller plus loin dans ses conseils en matière de développements informatiques, la CNIL recommande de minimiser les données à caractère personnel collectées, d’utiliser un format compatible avec la durée de conservation de ces données, d’intégrer le contrôle d’accès à ces données lors des développements et enfin d’éviter les zones de texte libres (ou alors avec mention relative au droit d’accès aux informations saisies).
Conclusions
A la fin de ce guide, figure un questionnaire permettant aux responsables informatiques d’évaluer le niveau de sécurité des données personnelles dans leur organisation.
Le Président de la CNIL (Alex TÜRK) précise en outre que ce guide n’est peut-être pas parfait, étant trop ou pas assez approfondi selon le profil du lecteur, mais indique qu’un document plus approfondi est d’ores et déjà en cours d’élaboration.
Pour plus d’information :
Guide de la CNIL : http://www.cnil.fr/fileadmin/documents/Guides_pratiques/Guide_securite%20VD.pdf