Avec la RGPD, de nouveaux métiers sont au cœur des entreprises. Portrait de Danil Bazin, responsable sécurité des systèmes d’information à la Caisse d’Epargne Normandie. Il nous parle de la sécurité des données, les vôtres et celles que vous pourriez être amené·e à traiter dans le cadre de votre projet et/ou de votre activité.
Danil, que nous conseillez-vous pour protéger nos propres données personnelles ?
D.B. : Nous pouvons identifier deux types de risque de sécurité simples à traiter. Dans un premier temps la sécurité liée à vos accès et vos mots de passe. Pensez à activer les options d’authentification forte ou multifacteur qui vous sont proposées. Ce système permet de venir confirmer une connexion à vos comptes ou profils via un sms ou une notification de confirmation. C’est un dispositif gratuit et qui apporte le meilleur rapport bénéficie/risques couverts !
Concernant vos mots de passe, ils doivent être uniques pour chacun des sites et outils auxquels vous accédez. Ils doivent être « complexes » et éviter d’être liés à des éléments de votre vie. Il peut devenir difficile de se rappeler de tous ces mots de passe, donc pour vous faciliter les choses, vous pouvez utiliser des gestionnaires de mots de passe ou des trousseaux de clés comme Keepass ou le trousseau Apple.
La CNIL propose quelques conseils pour un bon mot de passe !
Dans un second temps, la sécurité de vos données dépend des données que vous diffusez sur internet. Votre empreinte sur internet est constituée de l’ensemble des données à votre sujet et disponibles publiquement. Donc attention à vos diffusions et soyez attentif·ve à vos photos, les arrières plans peuvent parfois contenir des informations personnelles que vous ne souhaiteriez pas rendre publiques.
Un exemple : Quand la Royal Air Force divulgue un mot de passe
D’autre part, plus vous serez « connu·e » plus vous serez la cible potentielle de hackers ou de personnes malveillantes. Prudence et bon sens seront vos maître-mots.
Et dans le cadre d’un projet web, ou de création d’application, qu’en est-il des données de ses utilisateurs ?
D.B. : À partir du moment où vous collectez et traitez des données personnelles, vous êtes soumis au Règlement général sur la protection des données (RGPD). Ce règlement protège les personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
L’utilisation des données que vous collectez n’est pas libre, vous devrez clairement communiquer à vos utilisateurs le cadre d’utilisation et obtenir leur consentement. Ces données personnelles appartiennent à l’utilisateur, ce dernier doit pouvoir, à tout moment, s’opposer à une utilisation de ses données. Il est également libre, sans obligation légale contradictoire, d’en demander la suppression.
La transparence quant à la collecte et l’utilisation des données de vos utilisateurs peut constituer aujourd’hui un réel élément de différenciation dans le cadre d’un projet d’entreprise.
Et que faire pour protéger ces données et ainsi pouvoir rassurer ses utilisateurs ?
D.B. : Cela demande déjà en interne, lorsque vous construisez votre projet, de vous poser quelques questions primordiales.
Ces questions vont vous permettre d’identifier les risques et d’anticiper des solutions :
- Si mon application ou mon site est indisponible, est-ce grave ?
Si oui, il vous faut alors travailler sur une solution de haute disponibilité afin de garantir la disponibilité des services que vous mettez à disposition de vos utilisateurs. - Quel serait l’impact pour mon site ou mon application si je constate une destruction des données (par exemple un datacenter qui brûle) ?
Si la réponse à cette question est : Important !
Alors il faut penser à mettre en place un processus appelé « plan de reprise ». Il vous permettra de restaurer les données rapidement.
Il est également conseillé de multiplier les sauvegardes de vos bases de données, par exemple en choisissant un hébergeur différent pour vos données et votre site. - Quel serait l’impact pour mon site ou mon application si une personne malveillante vole mes données ?
S’il y a des données à caractère personnel sur mon site, je dois notifier la CNIL de ce vol et les utilisateurs si la fuite présente un risque pour eux.
Un vol de données n’est pas forcement visible, et s’en prémunir n’est pas trivial. S’intéresser au sujet et challenger ses prestataires est déjà un bon début. Si vous commencez à avoir votre propre Système d’information (SI), commencez par lire et appliquer le guide d’hygiène de l’ANSSI.
Plus tôt vous vous poserez ces questions, moins cela vous coûtera cher.
Pour en savoir plus : CNIL, RGPD, se préparer en 6 étapes
Tout ça a l’air bien compliqué, comment faire pour penser à tous ces éléments ?
D.B. : N’hésitez pas à vous faire accompagner, ces thématiques sont en effet complexes et des entreprises expertes peuvent vous apporter leurs connaissances. Cette démarche nécessitera un budget, à estimer, dont le montant peut être pris en charge, pour tout ou partie, par des aides.
Par exemple l’agglomération Caux Seine agglo aide à renforcer la cybersécurité des entreprises (paris-normandie.fr)
Et sur la Normandie : Cybersécurité : sécuriser la transformation numérique de la Normandie | Région Normandie
Bonus – 3 Tips pour sécuriser votre site WordPress !
1 – Pour accéder à la partie administration de votre site, utilisez un mot de passe robuste
2 – Ne partagez pas vos mots de passe. 1 utilisateur = 1 mot de passe
3 – Maintenez votre site WordPress à jour, laissez les mises à jour automatiques se faire et installez les mises à jour en cas de changement de version majeure.
Les sites de référence :
Agence Nationale de la Sécurité des Systèmes d’Information
Commission Nationale de l’Informatique et des Libertés
Guide RGPD du développeur