Pourquoi définir une stratégie de sécurité ?
Votre application manipule des données à caractère personnel (DCP), vous êtes donc soumis au RGPD en tant que sous-traitant aux données de vos clients.
Le RGPD vous oblige à mettre en place des mesures techniques et organisationnelles. Vos clients également vous imposeront ces mesures puisque pour garantir leurs certifications et leur niveau de sécurité, ils doivent s’assurer que les sous-traitants (et donc les outils qu’ils utilisent) sont également sécurisés.
Par où commencer ?
Lorsque l’on m’a proposé un poste de RSSI il y a quelques années, j’avais très peu d’expérience en sécurité et je me suis pris le mur de pleine face. Je ne savais pas par où commencer, jusqu’où je devais aller dans la rédaction des procédures et le niveau de sécurité. C’est pour cela que maintenant, avec le recul, je peux vous faire un retour d’expérience et essayer de vous indiquer la marche à suivre pour définir votre stratégie de sécurité.
Qu’est-ce que je dois faire ?
Limiter au maximum les données que vous récupérez
D’abord, commencez par lister le minimum d’information dont vous avez besoin pour créer votre outil / vos fonctionnalités de manière à appliquer le Privacy by Design que nous reverrons plus tard.
Sensibilisez vos équipes et sécurisez leurs postes de travail
Le plus gros du risque d’attaque pèse principalement sur la Direction et des salariés pouvant avoir accès à des informations confidentielles (Commerciaux, DSI, administrateurs…), il faut les sensibiliser pour qu’ils sachent comment ils pourraient être exposés et les conséquences que cela pourrait avoir pour l’entreprise. Cette sensibilisation passe par la rédaction d’un guide d’hygiène cybernétique ou des formations que vous pouvez réaliser en interne ou en vous faisant accompagner. Veillez également à mettre en place une Charte Informatique que le collaborateur devra signer au moment de la signature de son contrat de travail.
En plus de la sensibilisation, il est recommandé de sécuriser les postes de travail avec l’obligation d’utiliser des mots de passe forts, de verrouiller automatiquement leurs sessions,… Pour cela, vous pouvez vous faciliter la tâche avec la mise en place d’un MDM comme SimpleMDM ou Jamf. Ces outils vous permettront de définir les règles de sécurité sur les postes et de supprimer les données d’un poste à distance en cas de vol.
Réalisez un inventaire de vos actifs
L’inventaire des actifs correspond à lister tous les biens matériels et immatériels que l’entreprise possède ou loue dans le but de les protéger. Pour chaque actif, il convient de déterminer s’il est critique pour la survie de l’entreprise en cas de panne, de défaillance, de vol, d’inaccessibilité…
Listez les locaux, le matériel, les serveurs…
C’est grâce à cet inventaire que vous pourrez définir les documents de sécurité décrits ensuite.
Nommer un Délégue à la Protection des Données (DPO)
Le rôle du DPO est de s’assurer de la conformité de l’entreprise avec le RGPD. Il devra donc faire une veille sur la règlementation et s’assurer que les données stockées par l’entreprise sont protégées et en nombre restreint (Privacy by Design).
Appliquez le principe du moindre privilège
Ce principe consiste à dire que chaque personne doit seulement accéder aux informations pour l’exercice de ses fonctions. Il est fortement déclenché d’utiliser des comptes génériques et il est recommandé de séparer les droits. Par exemple un compte administrateur en lecture ne doit pas disposer des droits en écriture.
Limitez le nombre de personnes ayant accès à l’administration de votre SI, aux données de vos clients… et surtout tracez l’attribution des droits et faites une revue périodique (tous les 6 mois par exemple).
Rédiger les documents et procédures appropriés
Généralement, lorsque vous commencerez à travailler avec des ETI ou des gros groupes, il vous sera demandé des documents et procédures. Vous aurez également à remplir des documents de sécurité dont les questions sont basées sur la norme ISO27001. Ces questions visent à déterminer le niveau de maturité de votre solution en terme de moyens mis en place pour garantir la sécurité des données et de votre Système d’Information.
Les documents et procédures à rédiger à minima sont les suivants :
- Politique de Sécurité du Système d’Information
- Plan Assurance Sécurité
- Plan de Continuité d’Activité
- Plan de Reprise d’Activité
- Procédure de violation des données personnelles
- Privacy By Design
Je viendrai modifier cet article pour détailler le contenu de chaque document, en y ajoutant leur objectif, le contenu…
Vous souhaitez être accompagné pour la mise en place de votre stratégie de sécurité ?
Vous pouvez consulter cette page pour me contacter.