Catalogue of Security

Traduit de Anglais vers Français - www.onlinedoctranslator.
com
Catalogue des mesures de sécurité
Vous trouverez ici un catalogue de mesures de sécurité techniques et organisationnelles

développées par l'autorité danoise de protection des données que les entreprises et les
autorités peuvent prendre en compte dans divers contextes lors de la mise en œuvre de
programmes de confidentialité.
1
Table des matières
À propos du catalogue .................................................. .................................................................. ...................................... 4
Qu'est-ce qu'une mesure ?................................................. .................................................................. ...................................................... 4
Droits d’accès selon les besoins ............................................ .................................................................. .................................. 6
Conscience ................................................. .................................................................. .................................................................. ..... 8
Fermeture automatique des accès inactifs .................................................. .................................................................. ....... 11
Sauvegarde ................................................. .................................................................. .................................................................. ......... 12
Gestion centralisée des droits .................................................. .................................................................. ............... 15
Accès aux données selon les besoins............................................ .................................................................. .................................. 17
Documentation des autorisations ............................................................ .................................................................. .............. 19
Authentification multifacteur (MFA) .................................................. .................................................................. ............... 21
Séparation des fonctions ............................................................ .................................................................. ...................................... 24
Gestion des comptes utilisateurs temporaires .................................................. .................................................................. .26
Évitez l’utilisation inutile de comptes multi-utilisateurs ............................................ .................................................. 27
Évitez de copier les droits d’accès sans prendre activement position.................................................. ...................... 29
Journalisation de l'utilisation des données personnelles par les utilisateurs .................................. .................................................................. .......... 31
Journalisation des actions de l'administrateur utilisateur ............................................ .................................................................. ........ 34
Minimiser le nombre d'agents d'autorisation et d'administrateurs d'utilisateurs.................................................. 35
Minimiser les droits d’accès privilégiés.................................................. .................................................................. .............. 36
Contrôle périodique de l'actualité des droits d'accès ............................................ ...................................... 38
Pseudonymisation et anonymisation.................................................................. .................................................................. ...... 40
2
Droits d'accès basés sur les rôles............................................ .................................................................. ...................................... 42
Corrélation entre les compétences des utilisateurs, les droits d'accès et les tâches.................................................. ................ 43
Exemples dans le journal de l'utilisation des données personnelles par les utilisateurs.................................. ...................................................... 45
Contrôle des accès physiques............................................................ .................................................................. ...................... 47
Adaptation des droits d'accès lors d'un changement de relation de travail .................................. 49
Gestion du changement ................................................ .................................................................. .................................. 52
3
À propos du catalogue
Le catalogue est un ensemble de descriptions de mesures techniques et organisationnelles qu'il peut

être pertinent de considérer afin d'assurer une sécurité adéquate, cf. l'article 5 et l'article 32 du
Règlement général sur la protection des données (RGPD). L'évaluation de la nécessité des mesures
individuelles et des mesures décrites est effectuée par l'organisation sur la base d'une évaluation
concrète des risques. La valeur des mesures peut dépendre dans une large mesure des autres mesures
qui ont été établies, et le catalogue n'est donc ni exhaustif ni absolu quant à savoir si les mesures
nécessaires ont été prises pour atteindre un degré suffisant de sécurité du traitement.
Les descriptions des différentes mesures peuvent être lues individuellement, de sorte que le catalogue puisse
fonctionner comme ouvrage de référence.
De nombreuses mesures peuvent être mises en œuvre dans le cadre des fonctions qui soutiennent la protection des données dans les systèmes
informatiques en général et sont donc également pertinentes par rapport aux obligations de l'article 25 du RGPD concernant l'obligation de garantir
que la protection des données est prise en compte dans la conception et les paramètres par défaut. lors du développement ou de l’acquisition de
nouveaux systèmes informatiques ou du développement/modification de systèmes informatiques existants.
Les exemples utilisés s'appuient en grande partie sur l'expérience de l'Autorité danoise de protection des données en
matière de contrôle des entreprises privées et publiques, de traitement des violations de la sécurité des données
personnelles notifiées à l'Autorité de protection des données, des lignes directrices de l'EDPB et des normes ISO 27001
(norme danoise DS/ISO/ CEI 27001 – Exigences relatives aux technologies de l'information – techniques de sécurité –
Systèmes de gestion de la sécurité de l'information (ISMS)) et 27002.
Qu'est-ce qu'une mesure ?
Les mesures sont des mesures qui préservent et/ou modifient un risque. Une mesure peut être préventive, de
détection, corrective ou une combinaison de celles-ci. Ceci est expliqué plus en détail dans la description de chaque
mesure.
Les mesures techniques pertinentes pour la gestion des droits sont, par exemple, des solutions informatiques pour la gestion des
utilisateurs, le cryptage/suppression automatique, le contrôle d'accès automatique (login), l'enregistrement des utilisations des
données personnelles (logging), les portes et serrures physiques.
Les mesures organisationnelles pertinentes pour la gestion des droits sont, par exemple, les politiques de sécurité,
les procédures de contrôle régulier des droits d'accès, les procédures de retrait des droits d'accès en cas de
licenciement et de démission, la répartition des tâches selon les compétences, la formation à l'utilisation correcte de
l'informatique. solutions (c'est-à-dire compétences), évaluation et évaluation de l'efficacité des mesures techniques et
organisationnelles.
Dans les normes et les manuels, les mesures peuvent être divisées en d'autres catégories, par exemple « physiques », «
liées à la personne » ou « comportementales ». Cependant, le RGPD ne décrit que les catégories « techniques »
4
et « organisationnel », donc les exemples ci-dessus couvrent tout. Lorsqu'il est question, par exemple, de « serrures
physiques », cela peut être décrit comme une mesure physique, mais aussi comme une autre mesure technique.
mesure. La formation peut être décrite comme une mesure liée à la personne ou au comportement, mais aussi comme
une autre mesure organisationnelle.
La catégorie dans laquelle une mesure peut être classée n'est pas déterminante. Ce qui est crucial, c'est que des mesures
suffisantes aient été mises en place pour garantir un niveau de sécurité capable de protéger le traitement des données
personnelles – et l'entreprise.
Pour qu’un pare-feu ait un effet protecteur, il ne suffit pas d’acheter et d’installer un pare-feu logiciel ou
matériel. Un pare-feu doit être configuré, géré et tenu à jour correctement, et une organisation bénéficiera
généralement de plusieurs pare-feu gérés différemment. Une mesure décrite comme un « pare-feu »
comprendra donc en réalité de nombreuses mesures - souvent un mélange de quelque chose de technique et
de quelque chose d'organisationnel. Ces mesures pourraient chacune être décrites comme des mesures
indépendantes, mais pour éviter toute confusion, elles sont appelées « mesures » dans ce catalogue.
5
Mesure:
Droits d'accès selon vos besoins
QUELS RISQUES SONT TRAITÉS ?
Si un employé a accès à un système informatique plus large que ses besoins professionnels, cela peut présenter un risque inutile de
perte de données.confidentialitéetintégritépar une mauvaise manipulation ou une mauvaise utilisation de la part de l'employé. Un
accès trop large pour ajouter, modifier ou supprimer des données présente un risque inutile de perte de donnéesintégritéet
disponibilité. La limitation des droits d'accès (par exemple, accès en lecture sans accès en écriture) peut empêcher les erreurs et les
utilisations abusives. Il s'agit donc d'unpréventifmesure qui peut réduireles conséquencessi l'accès d'un utilisateur est utilisé de
manière incorrecte ou abusive.
Il n'en va généralement pas de même pour l'accès d'un citoyen/client à une solution libre-service, car les options (lire,
modifier, ajouter, supprimer des données) sont généralement choisies en fonction de ce que l'utilisateur de la solution libre-
service doit pouvoir faire lui-même, et la responsabilité en cas d'utilisation incorrecte/mauvaise incombe à l'utilisateur lui-
même. Il peut toutefois y avoir des exceptions à cette règle, dans lesquelles il n'est pas approprié de donner au client la
possibilité de modifier/supprimer certaines données, même s'il s'agit de ses propres données personnelles..
QUELLES MESURES PEUVENT ÊTRE ENVISAGÉES ?
Les droits d'accès des employés sont adaptés à un besoin lié au travail et sont limités, par exemple, aux possibilités
de lire, ajouter, rechercher, modifier, extraire ou supprimer des données.
Si un RPA (Robotic Process Automation) ou similaire est utilisé et que des droits d'accès sont accordés aux utilisateurs du
robot à cet égard, leur accès est également restreint autant que possible. Il peut être tentant de réaliser des économies sur
les licences d'utilisation des robots en donnant à un robot autant de droits d'accès que possible, mais un utilisateur de robot
disposant de nombreux droits peut présenter un risque plus élevé si, par exemple, un pirate informatique a la possibilité
d'obtenir les droits d'accès de ce robot. En minimisant les droits d'accès des utilisateurs du robot, les dommages potentiels
que l'utilisateur du robot peut causer en cas d'erreur dans le code/l'automatisation sont également limités.
Les possibilités de restriction des droits d'accès dépendent généralement de la conception des systèmes informatiques, c'est
pourquoi ces aspects sont pris en compte lors de la conception, de l'achat ou de la modification des systèmes informatiques
existants.
Certains droits d'accès peuvent donner lieu à des dommages irréparables, par exemple la suppression, et sont donc
accordés au moins de personnes possible et uniquement aux personnes possédant les compétences appropriées. Cette
mesure doit donc être considérée dans le contexte de la mesureCorrélation entre les compétences des utilisateurs, les
droits d'accès et les tâches .
6
QUAND LA MESURE EST-ELLE NÉCESSAIRE ?
L'article 5, paragraphe 1, point f) du RGPD concerne l'intégrité et la confidentialité des données personnelles. Moins
l’utilisateur individuel peut faire avec les données auxquelles il a accès, moins les conséquences potentielles si certains de
ces utilisateurs entreprennent des actions involontaires ou malveillantes ou des utilisations injustifiées des données. Cela a
également un effet protecteur contre les cybermenaces, car un pirate informatique agit souvent via des droits d'accès dans
des comptes d'utilisateurs compromis, et moins de droits limitent ainsi les options du pirate informatique. Les droits d'accès
doivent donc être limités autant que possible.
Article 25 RGPD : Lors du développement ou de l'acquisition d'un nouveau système informatique ou du développement/modification
d'un système informatique existant, la protection des données doit être prise en compte dans la conception et les paramètres par
défaut. La possibilité de limiter/différencier les droits d’accès aux données nécessite que cette option soit intégrée aux systèmes
informatiques qui contrôlent l’accès.
7
Mesure:
Conscience
La sensibilisation est utilisée comme terme collectif pour désigner toutes les initiatives axées sur l'attention qui peuvent accroître
la sensibilisation et les connaissances des employés sur les aspects de la sécurité. Il peut s'agir de ce que les employés ne sont pas
autorisés à faire ou de ce qu'ilsdevrait/devraitfaire. Il s’agit donc généralement de motiver les collaborateurs à adopter un
comportement moins risqué ou modifié lors de la manipulation des données. Il s'agit donc d'unpréventif mesure qui peut réduire
la probabilitéde nombreux scénarios différents pouvant affecter la confidentialité, l’intégrité ou la disponibilité des données.
Il peut s'agir de mesures visant à former les employés à détecter les messages de phishing, dans lesquels un fraudeur tente de
voler les informations de connexion de l'employé par e-mail ou SMS. Si les employés ne fournissent pas ces informations, cliquent
sur des liens suspects ou ouvrent des pièces jointes, on peut éviter de compromettre l'accès des utilisateurs ou le réseau de
l'organisation. La sensibilisation peut également consister à informer les employés que toutes les actions dans les systèmes
informatiques sont enregistrées dans l'espoir de prévenir les abus.
Si les employés apprennent quoi faire pour bloquer rapidement une carte d'accès perdue/volée, la sensibilisation peut également constituer
une mesure de détection, permettant potentiellement de stopper un incident (carte d'accès perdue/volée) avant que l'incident n'impacte le
traitement des données personnelles par l'organisation (la carte est utilisée à mauvais escient). pour accéder aux données/articles).
Vous trouverez ci-dessous une liste de mesures parmi lesquelles choisir, en fonction de ce qui est pertinent dans
chaque organisation et en relation avec le traitement individuel des données personnelles.
Plusieurs mesures peuvent également être prises en charge techniquement, afin que les utilisateurs ne puissent pas éviter
de faire le bon choix. Les initiatives qui reposent uniquement sur des procédures qui doivent être mémorisées et
respectées comportent intrinsèquement un risque de non-conformité. Ce risque peut souvent être minimisé dans une
large mesure grâce au support technique.
• Garantir la connaissance des actions enregistrées, du but de l'enregistrement et des sanctions possibles en cas d'abus,
par exemple des droits d'accès. Cela peut inclure la journalisation des actions de l'utilisateur dans les systèmes
informatiques, mais également la journalisation des accès physiques aux locaux, de la surveillance TV, etc.
• Les agents d'autorisation, les administrateurs d'utilisateurs et les utilisateurs sont informés de ce qu'ils sont
autorisés à faire avec leurs droits d'accès respectifs, par exemple :
oque les utilisateurs ne peuvent pas utiliser les données à des fins autres que professionnelles,
8
o que les agents d'autorisation doivent se concentrer sur un accès limité (pas seulement sur la capacité des
utilisateurs à résoudre des tâches), et
o que les administrateurs d'utilisateurs ne doivent pas agir de leur propre chef et doivent documenter
toutes les autorisations délivrées par les agents d'autorisation.
• Des conseils sur le choix des mots de passe, notamment en évitant les codes qui sont également utilisés à titre
privé, car ils peuvent être compromis ou pas suffisamment sécurisés.
• Renforcer l'information selon laquelle les mots de passe, les jetons, les cartes d'accès et autres facteurs
d'accès sont strictement confidentiels et personnels, et que l'utilisateur est responsable de toutes les
actions effectuées lors de sa connexion – éventuellement en référence à la journalisation et aux sanctions.
Cela peut être étayé par des informations sur les procédures fixes d’échantillonnage et d’audit.
• Instructions sur la façon dont les utilisateurs doivent réagir en cas de suspicion/connaissance qu'une
personne non autorisée a obtenu l'accès/connaissance des facteurs d'autorisation d'accès.
• Instructions sur la manière dont les utilisateurs doivent réagir en cas de soupçon/savoir que des personnes non
autorisées ont eu accès à des supports d'accès tels que des clés, des porte-clés, des cartes d'accès, etc. Même s'il
n'y a qu'un accès électronique aux données personnelles, cette instruction peut être pertinente si:
o le support d'accès permet d'accéder physiquement à un équipement informatique contenant des données
personnelles, ou
o le niveau de sécurité de l'accès électronique est différent selon l'endroit où vous vous trouvez
physiquement – par exemple à l'intérieur ou à l'extérieur des bureaux de l'organisation.
• Connaissance spécifique de la manière dont les données personnelles peuvent être utilisées à des fins de tests dans le cadre du
développement de systèmes informatiques.
• Orientation sur les conséquences de la violation des règles/législations sur la confidentialité et de

tout accord de non-divulgation signé.
• Connaissance générale de la manière dont les données personnelles peuvent et doivent être traitées
conformément au RGPD et à d'autres législations pertinentes, par exemple en suivant les directives internes qui ont
été élaborées pour garantir la mise en œuvre de la législation. Cela peut concerner le stockage, l’utilisation, la
divulgation, la suppression, la transmission et d’autres traitements. Attention particulière au fait que certaines
données personnelles « ordinaires » peuvent être confidentielles, par exemple les adresses protégées.
• Conseils ciblés sur l'utilisation de systèmes informatiques spécifiques, par exemple la journalisation, la publication,
la journalisation avec publication automatisée, l'anonymisation, la suppression des métadonnées cachées
(données sur les données, par exemple les informations sur un fichier par opposition au contenu du fichier), les
exigences de la législation, etc. combiné avec des outils qui facilitent l'exécution des actions susmentionnées sans
commettre d'erreurs.
• Conseils ciblés destinés aux administrateurs d'utilisateurs ou aux responsables de la sécurité informatique pour détecter les tentatives d'abus
internes.
• Conseils ciblés pour les employés ayant accès aux comptes bancaires et aux systèmes financiers de
l'organisation concernant la « fraude au PDG » (également connue sous le nom de « fraude au directeur »), où
les employés sont trompés par quelqu'un se faisant passer pour un directeur. Ceci peut
9
éventuellement combiner avec d'autres règles commerciales qui prennent en charge l'approbation appropriée des paiements et
des transferts de devises.
Ici vous pouvez lirela description du Center for Cyber Security d'une méthode pour travailler avec les
comportements liés à la sécurité de l'information .
La sensibilisation pouvant réduire de nombreux risques très différents, il est impossible de préciser quand la mesure est
nécessaire. La sensibilisation est une mesure organisationnelle (y compris liée à la personne/comportementale). Elle
constitue généralement un complément à la gestion des menaces qui ne peuvent être traitées de manière adéquate par des
mesures techniques (y compris physiques). Par conséquent, le besoin de sensibilisation dépend de ce qui peut être obtenu
par d’autres moyens.
dix
Mesure:
Fermeture automatique des accès inactifs
Un plus grand nombre d'accès utilisateur offre une plus grande « surface d'attaque » aux acteurs malveillants : ils disposent,
pour ainsi dire, de plus de briques avec lesquelles construire leurs attaques. Les accès inactifs présentent donc un risque
inutile. Il s'agit donc d'unpréventifmesure susceptible de réduireprobabilitéqu'un accès utilisateur (inutile) est utilisé à
mauvais escient.
L'inactivité est souvent le signe que l'accès est inutile, et les accès inactifs peuvent plus facilement être utilisés à
mauvais escient pendant une période plus longue sans que l'utilisateur légitime ne s'en aperçoive, car il n'utilise pas
lui-même l'accès.
Fermeture automatique des accès non utilisés depuis un certain temps - par exemple 40 jours
- est établi. Lorsque la fonction est intégrée au système informatique, elle est sélectionnée. Alternativement, une procédure
manuelle est établie. Afin de garantir une administration uniforme, la gestion est, dans la mesure du possible, centralisée à partir
d'un système de gestion des utilisateurs, plutôt que localement dans les systèmes concernés individuels.
Les mesures ci-dessus n'éliminent pas la nécessité d'autres mesures concernant la fermeture des accès
inutiles. Les accès inutiles doivent être fermés le plus rapidement possible afin de minimiser la « surface
d'attaque » susmentionnée. De plus, un utilisateur peut choisir d'utiliser délibérément un accès à intervalles
réguliers pour contourner la fermeture automatique.
Il s'agit d'une évaluation des risques conformément à l'article 32 du RGPD qui montrera quelles mesures sont
pertinentes. Les mesures en elles-mêmes ne garantissent pas contrevolontaireabus, et la valeur des mesures
dépend dans une large mesure de ce qui est fait pour garantir la fermeture rapide des accès inutiles.
Article 25 RGPD : Lors du développement ou de l'acquisition d'un nouveau système informatique ou du développement/modification d'un
système informatique existant, la protection des données doit être prise en compte dans la conception et par défaut.
paramètres. La fermeture automatique nécessite que la fonctionnalité soit intégrée au système informatique qui contrôle
l'accès.
11
Mesure:
Sauvegarde
La sauvegarde peut être utilisée pour rétablir l'accès aux données devenues inaccessibles ou détruites, par exemple par un
logiciel malveillant ou une panne informatique. Il s'agit donc d'uncorrectifmesure susceptible de réduire les conséquences
d'une destruction, d'une perte ou d'une altération accidentelle ou illégale de données.
On pourrait dire qu'une sauvegarde fait de la "perte de disponibilité" untemporaireperte plutôt que
unpermanentperte. La sauvegarde peut également être utilisée pour corriger l'intégrité des données, si celles-ci sont, par exemple,
compromises par un virus informatique ou un pirate informatique.
La sauvegarde peut concerner autre chose que des données sous la forme, par exemple, de données personnelles. Cela peut
impliquer de garantir la possibilité de restaurer des systèmes entiers et donc de sauvegarder, par exemple, des systèmes
d'exploitation, des bases de données, des certificats, des clés de chiffrement, des licences, des paramètres système (y compris les
paramètres de pare-feu), qui sont complexes et longs à restaurer manuellement.
L'effet de la sauvegarde dépend fortement du facteur temps : combien de temps s'écoule-t-il entre la perte de disponibilité/d'intégrité et le
moment où la sauvegarde est utilisée jusqu'à ce que les données puissent être restaurées ? Si, par exemple, il ne s'écoule qu'un très court laps
de temps pendant lequel les données ne sont pas disponibles avant que les conséquences soient maximales, il se peut que la sauvegarde ne
puisse pas résoudre ce problème (à elle seule) et qu'il faille utiliser des systèmes informatiques en double.
La sauvegarde ne peut pas restaurer un système informatique tel qu'il était exactement au moment où un incident s'est produit, mais plutôt
tel qu'il est apparu à un moment donné.avantL'incident. Ainsi, la sauvegarde se caractérise également par le fait qu'il existe généralement
toujours un risque de perte de données qui ne peut être éliminé – mais ce risque est moindre en cas d'utilisation de données/systèmes en
double.
Comme les sauvegardes n'incluent généralement pas les dernières modifications apportées aux données, il y aura toujours un problème
(mineur) d'intégrité des données après l'utilisation d'une sauvegarde pour restaurer les données. De même, la sauvegarde peut contenir des
données qui ont été supprimées du système informatique et qui doivent donc être à nouveau supprimées après l'utilisation de la sauvegarde.
Il ne faut pas confondre la sauvegarde avec une « copie de données ». La sauvegarde est bien plus qu’une copie de données et peut
donc également protéger contre plusieurs menaces. Certaines menaces (par exemple les ransomwares) sont conçues pour affecter
à la fois les données du système informatique et la copie de ces mêmes données, et par conséquent, une copie des données n'est
souvent qu'un faux sentiment de sécurité.
12
Sauvegarde des données : des copies des données sont constamment sauvegardées. Les données sont stockées d'une manière qui ne
peut pas être supprimée – également appelée WORM (Write Once, Read Many).
Les procédures d'attribution des accès garantissent qu'une même personne n'a pas accès à la fois aux
données de production et à la copie de ces données. Lorsque cela ne peut être évité, les accès sont partagés,
nécessitant différents comptes d'utilisateurs pour y accéder.
Intervalles entre les sauvegardes : plus le temps qui s'écoule entre les données copiées vers les sauvegardes est long,
plus la perte de données peut être importante si des sauvegardes doivent être utilisées pour rétablir l'accès aux
données. Le temps qui s'écoule entre chaque copie de données est déterminé sur la base de l'évaluation des risques,
c'est-à-dire une évaluation du temps écoulé depuis la dernière copie avant que les conséquences ne soient trop
importantes pour les personnes concernées. Dans une stratégie de sauvegarde, les intervalles et le type (copies
complètes/incrémentielles) sont spécifiés.
Alarme : si la sauvegarde est automatisée, une alarme garantit qu'elle est détectée en cas d'échec de la sauvegarde automatique.
Sauvegarde des logiciels et du matériel : elle examine quels matériels et logiciels peuvent être récupérés et à quelle vitesse. Cela
s'applique par exemple aux serveurs physiques, aux systèmes d'exploitation, aux logiciels de bases de données, aux licences, aux
clés de chiffrement, etc. Alternativement, cela garantit que ces éléments se retrouvent également dans une copie.
Emplacement physique de la copie de sauvegarde : l'emplacement physique est déterminé sur la base de l'évaluation des risques,
c'est-à-dire sur la base d'une évaluation des menaces susceptibles d'affecter l'emplacement physique où se trouvent les données
d'origine. Si, par exemple, il existe une possibilité que les systèmes informatiques soient détruits par une inondation, la copie est
alors placée dans un endroit qui ne peut pas être affecté par les inondations provoquées par une tempête.
Emplacement logique (emplacement réseau) : la sauvegarde est stockée dans un endroit où l'accès est plus limité, car seuls quelques-
uns (administrateurs informatiques) ont besoin de cet accès. Les réseaux qui stockent les données de production et les données de
sauvegarde ne sont pas connectés au réseau, par exemple parce que la sauvegarde est effectuée auprès d'un fournisseur de
sauvegarde. Lorsque cela ne peut être évité, les réseaux sont segmentés les uns des autres via des pare-feu, qui limitent l'accès à ce
qui est absolument nécessaire, de sorte que la sauvegarde est mieux protégée contre les attaques de pirates informatiques qui
peuvent affecter d'autres parties du réseau.
Test de copie de sauvegarde : il est vérifié à intervalles réguliers si la sauvegarde est effectuée aux intervalles prévus
(fréquence), si la copie de sauvegarde est disponible, si la copie de sauvegarde contient toutes les données
pertinentes (étendue), si la copie de sauvegarde est véridique ( intégrité). Ce dernier peut par exemple être un type
de test d'intégrité (somme de contrôle ou autre).
Test de restauration : il est testé si les données peuvent réellement être rechargées et utilisées dans un système
informatique. Il s'agit d'un test visant à déterminer (1) si la récupération peut être effectuée avec les guides/procédures
existantes, (2) si tout ce qui a des copies (matériel, logiciels, données) peut fonctionner ensemble, et (3) si
13
la récupération peut se produire assez rapidement par rapport au fait que les conséquences augmentent
généralement avec le temps (Recovery Time Objective).
Suppression après sauvegarde : Des procédures sont établies pour garantir que les données qui doivent être supprimées le soient à
nouveau après avoir utilisé une sauvegarde, afin que les données ne soient pas conservées plus longtemps que nécessaire, cf. ci-joint
l’article 5 du RGPD.
Il est garanti que le recours à la sauvegarde – et donc la diffusion des données – n'augmente pas le risque pour les
personnes concernées. Cela est dû au fait que la transmission et le stockage des données de sauvegarde sont
sécurisés contre tout accès non autorisé et que le traitement des données de sauvegarde s'effectue sous le contrôle
du responsable du traitement. Cela se fait par le biais d'accords de traitement des données et par le cryptage des
données avant leur transfert et leur stockage.
Il s'agit avant tout d'une évaluation des risques selon l'article 32 du RGPD qui montrera quelles mesures sont
pertinentes, car les risques dépendent fortement des conséquences sur les droits des personnes concernées –
droits qui sont affectés si leurs données personnelles cessent d'être accessibles aux données. manette.
Si, par exemple, nous parlons des dossiers des patients dans un hôpital, le manque de disponibilité peut avoir un
impact sur la possibilité pour le patient de recevoir le traitement optimal - dans le pire des cas, cela peut avoir des
conséquences fatales. Si, en revanche, il s'agit d'un client inscrit dans une boutique en ligne qui vend des robes, il y a
probablement peu ou pas de conséquences pour les personnes inscrites en cas de manque de disponibilité.
14
Mesure:
Gestion centralisée des droits
La gestion décentralisée (ou « autonome ») des droits peut signifier que celui qui assure la gestion des droits n'en
fait pas sa tâche principale. Cela peut augmenter le risque d’erreurs dues au manque d’expérience, de
connaissances ou au manque d’attention portée à la sécurité lors de la gestion des droits d’accès.
Si des changements surviennent dans un environnement informatique sans que la gestion des droits soit poursuivie et
testée, cela peut, entre autres, faire disparaître la restriction d'accès correspondante, de sorte qu'un accès non autorisé se
produise immédiatement. La gestion décentralisée des droits peut impliquer une plus grande probabilité que des conditions
spécifiques importantes pour la gestion des droits soient négligées lorsque des modifications sont apportées aux
environnements informatiques, car seule une ou quelques personnes sont conscientes des conditions en question.
Si la gestion des droits est assurée par une unité centrale qui en a la tâche principale, il est plus facile de
garantir les connaissances nécessaires et de se concentrer sur la sécurité. Cela évite les erreurs. Il s'agit
donc d'une mesure préventive qui peut réduire la probabilité qu'un accès utilisateur inutile soit établi ou
maintenu.
La gestion centralisée des droits facilitera généralement également le contrôle et donc la mise en œuvre de la
mesure.Contrôle périodique de l'actualité des droits d'accès .
Une vue d’ensemble de tous les accès des utilisateurs et une gestion uniforme de ceux-ci sont assurées. La tâche est
organisée de manière organisationnelle avec des personnes qui reçoivent la formation nécessaire pour gérer cette tâche
particulière.
La gestion décentralisée des utilisateurs est interdite/empêchée par des directives et/ou des mesures techniques. Par
exemple, en décidant que seuls les employés de l'unité centrale de gestion des utilisateurs peuvent gérer les droits d'accès.
Une mesure technique peut, par exemple, constituer un obstacle technique empêchant les employés de créer des dossiers
avec des restrictions d'accès sur des lecteurs réseau ou des plateformes de partage de fichiers basées sur le Web telles que
SharePoint.
La centralisation peut inclure une centralisation technique via l'utilisation de Single Sign-On ou d'un service
d'annuaire tel qu'Active Directory sous Windows. Si possible, il devrait y avoir un lien vers des systèmes faisant
autorité, par exemple un système RH qui montre toujours qui est actuellement employé.
15
et dans quel poste/département. Si possible, il devrait y avoir un lien vers une attribution centralisée
des droits via, par exemple, un système IdM.
Lorsque la gestion centralisée des droits n’est pas possible ou appropriée, des procédures fixes d’exécution sont établies à
la place, de sorte que des principes uniformes soient suivis, à l’instar de ce qui se passe dans la gestion centralisée des
droits. Une attention particulière est également portée à la gestion décentralisée des droits en cas de changements futurs
dans cette partie de l'environnement informatique, c'est pourquoi elle fait également partie duGestion du changement
mesure.
Il s'agit avant tout d'une évaluation des risques selon l'article 32 du RGPD, qui doit montrer quelles mesures sont
pertinentes, car les risques et les opportunités dépendent fortement de l'organisation spécifique et des types de
systèmes informatiques utilisés.
Article 25 RGPD : Lors du développement ou de l'acquisition de nouveaux systèmes informatiques ou du développement/modification de
systèmes informatiques existants, la protection des données doit être prise en compte dans la conception et les paramètres par défaut. Si les
systèmes informatiques sont sélectionnés/conçus pour faire partie d'une gestion centrale des droits et éventuellement d'une authentification
unique, une gestion décentralisée des droits avec les risques susmentionnés peut être évitée.
16
Mesure:
Accès aux données selon les besoins
Les droits d'accès doivent être limités autant que possible. Lorsqu'un employé a accès aux informations de
nombreuses personnes, cela peut accroître la tentation d'abuser de cet accès à des fins privées ou non liées au
travail. En limitant l’accès aux données afin qu’il corresponde aux besoins liés au travail, les possibilités d’abus
peuvent être réduites. Il s'agit donc d'unpréventifmesure qui peut réduirela probabilitéd'utilisation abusive de l'accès
des utilisateurs, etles conséquencessi une mauvaise utilisation devait avoir lieu.
Il en va généralement de même pour l'accès d'un citoyen/client à une solution en libre-service auprès d'une
autorité ou d'une entreprise privée, car l'accès doit souvent être limité aux données personnelles de l'utilisateur.
L'accès des employés est accordé en fonction des besoins liés au travail et peut être limité, par exemple, à l'actualité ou à
l'ancienneté des données, au type de données (par exemple, s'il s'agit de données clients, de données RH, de données de lanceur
d'alerte), au type de cas ( par exemple « Route et parc » ou « Affaires familiales »), etc.
Les droits d'accès des citoyens/clients sont adaptés à ce à quoi l'individu a le droit d'accéder (généralement uniquement
ses propres données personnelles et éventuellement celles de ses proches).
Les options dépendent généralement de la conception des systèmes informatiques, c'est pourquoi ces aspects sont pris en compte
au moment de la conception ou de l'achat des systèmes informatiques.
Si un RPA (Robotic Process Automation) ou similaire est utilisé et que des droits d'accès sont accordés aux utilisateurs du robot à cet
égard, leur accès est également restreint autant que possible. Il peut être tentant de réaliser des économies sur les licences
d'utilisation des robots en donnant à un robot autant de droits d'accès que possible, mais un utilisateur de robot disposant de
nombreux droits peut présenter un risque plus élevé si, par exemple, un pirate informatique a la possibilité d'obtenir les droits
d'accès de ce robot. Les droits d'accès des utilisateurs du robot sont également minimisés en raison d'éventuelles erreurs dans le
code/l'automatisation ou la configuration. Cela limite les dommages potentiels que peut causer l’utilisateur du robot.
Voir aussi la mesurePseudonymisation et anonymisation , qui restreint également l'accès, mais en supprimant ou
en séparant les données.
17
L'article 5, paragraphe 1, point f) du RGPD concerne l'intégrité et la confidentialité des données personnelles. Moins l’utilisateur
individuel a accès aux données, moins les conséquences potentielles si certains de ces utilisateurs entreprennent des actions
involontaires ou malveillantes ou abusent de toute autre manière de l’accès aux données. Dans le même temps, cela a également
un effet protecteur contre les cybermenaces, car un pirate informatique agit souvent via des droits d'accès dans des comptes
d'utilisateurs compromis, et moins de droits donnent donc moins de possibilités au pirate informatique. Les droits d'accès doivent
donc être limités autant que possible.
systèmes informatiques existants, la protection des données doit être prise en compte dans la conception et les paramètres par défaut.
L'option de minimiser les droits d'accès nécessite que l'option soit intégrée aux systèmes informatiques qui contrôlent l'accès. Les paramètres
par défaut peuvent également minimiser les droits comme point de départ, mais il peut aussi s'agir, par exemple, de la suppression
automatique des données en fonction de leur âge, ce qui contribue à minimiser l'accès aux données.
18
Mesure:
Documentation des autorisations
Les administrateurs d'utilisateurs ont la possibilité de donner à d'autres personnes – et généralement à eux-mêmes –
l'accès aux systèmes informatiques. L'administrateur des utilisateurs a la possibilité technique de créer un accès sans
suivre les procédures ou autorisations établies, par exemple pour faciliter une procédure ou, dans le pire des cas, pour
créer une base d'abus. Les exigences en matière de documentation pour l’autorisation nécessaire constituent un
contrepoids à cette situation. Il s'agit donc d'une mesure préventive qui peut réduirela probabilitéqu'un utilisateur
administrateur commette des erreurs ou abuse de ses droits d'accès.
Les procédures et/ou la technologie sont mises en place de telle manière que les administrateurs des utilisateurs sont obligés de
prouver qu'ils n'ont pas agi de leur propre chef en matière de délivrance de droits d'accès à d'autres ou à eux-mêmes.
Il existe une exigence (écrite) selon laquelle les autorisations (approbations des droits d'accès par les agents d'autorisation)
doivent être documentées par l'administrateur des utilisateurs. Cela permet d'éviter qu'un administrateur d'utilisateurs ne
subisse des pressions pour accorder des droits d'accès sans autorisation documentée. Ce type de pression pourrait, par
exemple, provenir d'un responsable plus préoccupé par la rationalisation des flux de travail que par la sécurité.
L'administrateur des utilisateurs conserve la documentation pour pouvoir montrer que les procédures correctes ont été
suivies lors de l'attribution des droits d'accès.
Dans la mesure du possible, un obstacle technique est créé afin que l'administrateur de l'utilisateur puisse modifier
l'autorisation une fois qu'elle a été soumise et documentée. Cela protège contre la tricherie de la part de
l'administrateur de l'utilisateur.
Elle est complétée par des contrôles ponctuels visant à déterminer si la documentation correspond aux droits d'accès établis.
Cela pourrait éventuellement se produire dans le cadre de la mesure Contrôle périodique de l'actualité des droits d'accès.
L'article 5, paragraphe 1, point f) du RGPD stipule notamment que les données personnelles doivent être traitées de
manière à garantir la protection contre tout traitement non autorisé ou illégal. Lorsque les autorisations ne sont pas
documentées, cela peut réduire le sentiment de responsabilité de l'administrateur de l'utilisateur et du
19
agent d'autorisation. Ainsi, faire fonctionner la vie quotidienne peut être une priorité plus élevée que gérer
correctement les droits.
Il s'agit avant tout d'une évaluation des risques selon l'article 32 du RGPD, qui doit montrer quelles mesures sont
pertinentes, mais compte tenu de l'aspect humain, la documentation des autorisations sera très souvent
pertinente.
20
Mesure:
Authentification multifacteur (MFA)
L'authentification multifacteur est également appelée connexion multifacteur ou en anglais MFA (Multi-Factor
Authentication).
L'objectif de cette mesure est de renforcer le contrôle sur les personnes qui accèdent à un système informatique, afin de
minimiser la probabilité d'un accès non autorisé.
« Authentification » concerne une personne qui vérifie son identité. L'utilisateur d'un système informatique peut, par
exemple, vérifier son identité en fournissant un mot de passe que seul l'utilisateur doit connaître. Le mot de passe est
donc le facteur d'authentification dans le processus de connexion.
MFA exige que l'utilisateur soumette deux ou plusieurs facteurs indépendants de différentes catégories pour y
accéder. Deux facteurs sont considérés comme indépendants s’il n’est pas possible de déduire un facteur de la
connaissance de l’autre facteur. Les différentes catégories sont décrites ci-dessous (A, B, C), et le tableau des risques
dépend des catégories sélectionnées pour le processus de connexion.
Cela peut également être considéré comme une mesure de détection : les tentatives d'obtention d'un accès non autorisé via
la connexion d'un utilisateur autorisé nécessiteront plusieurs étapes (en raison des multiples facteurs dans le processus de
connexion) et peuvent offrir une opportunité accrue de détecter les tentatives d'abus en cours (sur le premier facteur) et
avant qu’il ne se termine par un accès non autorisé réussi.
Les facteurs doivent pouvoir authentifier l'identité de l'utilisateur, c'est-à-dire garantir que c'est le bon utilisateur qui se
connecte.
Le nom d'utilisateur, le numéro de client, le numéro de sécurité sociale (numéro CPR), etc. ne peuvent être considérés comme
un facteur si une personne autre que l'utilisateur connaît ou a accès à ces informations. De plus, il s'agit d'informations de
même nature et saisies de la même manière que le mot de passe, c'est pourquoi ils s'exposent aux mêmes menaces (par
exemple, écoutes via des logiciels malveillants ou surveillance physique). Par conséquent, devoir saisir à la fois un nom
d’utilisateur et un mot de passe ne réduit pas les risques de manière significative, même si les deux n’étaient connus que de
l’utilisateur lui-même. Les facteurs sont sélectionnés parmi différentes catégories parmi les suivantes :
• Quelque chose que l'utilisateur connaît : généralement, un mot de passe personnalisé. Il doit s'agir de quelque
chose que seul l'utilisateur connaît et qu'il ne peut que mémoriser. C’est donc généralement aussi
21
quelque chose que l'utilisateur a choisi lui-même. Le facteur ne doit à aucun moment avoir été
accessible ou devenir accessible à d'autres personnes, c'est pourquoi il doit être stocké de
manière cryptée (hachée). L'utilisateur doit pouvoir remplacer ce facteur s'il soupçonne que
d'autres en ont pris connaissance.
• Quelque chose que l'utilisateur possède : par exemple, une carte personnalisée avec des codes uniques à usage
unique. Le facteur peut également être généré par un logiciel unique intégré au matériel, par exemple des codes
à usage unique provenant d'une clé matérielle/d'un porte-clés. Il doit s'agir de quelque chose que l'utilisateur
peut avoir en sa possession physique et qu'il peut garder entièrement pour lui. Cela ne doit pas être quelque
chose qui doit être partagé avec les autres. L'utilisateur doit pouvoir remplacer ce facteur s'il soupçonne que
d'autres personnes ont la possibilité d'utiliser une copie du
matériel/logiciel.
• Quelque chose que l'utilisateur est : données biométriques typiques, telles que l'empreinte digitale, le balayage de l'iris, la
reconnaissance faciale, la reconnaissance vocale, etc. Par rapport aux catégories A et B, la catégorie C a une faiblesse
intrinsèque, à savoir que l'utilisateur peut rarement conserver le facteur pour lui-même ou le remplacer. La force de
l’authentification multifacteur réside dans le fait qu’elle peut minimiser des risques spécifiques. Tout d'abord, toutes les
menaces auxquelles une connexion spécifique peut être exposée sont identifiées, puis les facteurs sont sélectionnés sur la
base d'une évaluation visant à déterminer s'ils affectent (réduisent) suffisamment les risques spécifiques. Exemple : 1. un
employé doit utiliser des mots de passe saisis via un PC/smartphone. Cela peut être fait par l'employé dans les lieux
publics. L'une des principales menaces est que le mot de passe puisse être intercepté par des logiciels malveillants ou des
pirates informatiques qui ont compromis le PC/smartphone utilisé. Le mot de passe peut également être intercepté en «
regardant par-dessus l'épaule » ou via des caméras de surveillance dans un lieu public.
Si le deuxième facteur est un code à usage unique provenant d'un visualiseur de code électronique, celui-ci peut également
être intercepté de la même manière et est donc soumis aux mêmes menaces que le mot de passe. Cependant, si le code
affiché sur le visualiseur de code ne peut être utilisé qu'une seule fois et dans un laps de temps très court - et que
l'utilisateur est susceptible de l'utiliser immédiatement - alors ce facteur n'est pas exposé au même degré.
Le visualiseur de code peut être volé (menace de vol physique), mais le mot de passe n'est pas exposé de la même manière s'il est
connu uniquement de l'utilisateur. Par conséquent, l'utilisateur ne doit pas écrire le code sur un bout de papier qui pourrait être volé
avec le visualiseur de code. Par conséquent, une mesure organisationnelle est ajoutée sous la forme de lignes directrices destinées
aux utilisateurs sur la façon de gérer le mot de passe et de signaler rapidement le vol afin de bloquer le visualiseur de code et
éventuellement la connexion. Il peut également être considéré comme deux facteurs si une barrière physique doit d'abord être
forcée dans un bâtiment verrouillé avec une carte-clé électronique personnalisée ("quelque chose que vous possédez"), combinée à
une connexion au système informatique avec un mot de passe ("quelque chose que vous connaissez". "). Dans cet exemple, il est
cependant un peu difficile d'évaluer les risques car les deux facteurs sont très distincts et peuvent être gérés de manière très
différente.
22
Le facteur unique est protégé contre toute utilisation abusive, ce qui le rend plus difficile à contourner. Par exemple, les
fonctions de connexion qui utilisent le facteur « mot de passe » sont protégées contre les attaques par force brute et les
attaques par dictionnaire qui tentent de deviner/tester le facteur. Une protection supplémentaire peut être établie par des
mesures organisationnelles sous forme d'instructions aux employés, par exemple des exigences en matière de choix et de
gestion des mots de passe.
La protection contre les attaques dans lesquelles l'utilisateur est amené à transmettre les facteurs d'octroi d'accès est
appelée MFA résistante au phishing.En savoir plus à ce sujet ici .
Les facteurs sont davantage protégés en s'abstenant de transmettre des facteurs par e-mail et SMS, car ils
risquent alors d'être interceptés. Les facteurs peuvent plutôt être générés localement sur un appareil.
Enfin, il est garanti qu'il n'y a aucun détour pour se connecter, ce qui compromettrait la solution d'authentification
multifacteur. Il pourrait par exemple s'agir d'une solution d'aide aux utilisateurs ayant oublié leur mot de passe, ce
qui permet en pratique de se connecter avec un seul facteur.
Voir égalementles conseils du Center for Cyber Security sur la sécurité des mots de passe , qui mentionne également
l'authentification multifacteur.
Il s'agit avant tout d'une évaluation des risques conformément à l'article 32 du RGPD qui montrera quelles mesures sont
pertinentes, car les risques et les opportunités dépendent fortement des circonstances spécifiques.
Veuillez toutefois noter l'article 5, paragraphe 1, point f) du RGPD, qui stipule que les données personnelles doivent être
traitées de manière à garantir la protection contre tout traitement non autorisé ou illégal. Lors de l'accès à des données
personnelles particulièrement sensibles via Internet, il peut s'avérer impossible de les protéger de manière adéquate via une
connexion avec un seul facteur. Pour accéder via Internet aux systèmes informatiques dans lesquels sont traitées des
données personnelles dignes de protection, une authentification multifacteur ou quelque chose qui augmente en
conséquence le niveau de sécurité doit être mis en œuvre.
De plus, dans le cas de fonctions de connexion qui ne sont pas accessibles depuis Internet, une authentification
multifacteur peut être jugée nécessaire, par exemple parce qu'il s'agit d'un accès d'administrateur, qui doit être
particulièrement bien protégé contre les menaces qui se trouvent sur (ou peuvent se déplacer) dans) les réseaux
internes de l’organisation.
23
Mesure:
Séparation des fonctions
Les tâches effectuées avec un droit d'accès peuvent disqualifier la personne des tâches qui peuvent être effectuées
avec un autre droit d'accès. C'est pourquoi la séparation des fonctions est connue dans les systèmes financiers, où
elle garantit qu'un seul employé peut corriger et approuver une facture pour ses propres achats.
De la même manière, une même personne ne doit pas pouvoir commander et autoriser son propre accès à un
système informatique. Ceci est évité en établissant une séparation fonctionnelle dans les tâches et/ou les droits
d'accès. Il s'agit donc d'une mesure préventive qui peut réduire la probabilité de divers types d'abus du droit d'accès.
La séparation des fonctions existe avec une mesure qui favorise le contrôle mutuel entre les différentes
fonctions de travail et évite ainsi les abus.
Des procédures sont établies - si cela est techniquement possible - par lesquelles une séparation fonctionnelle est
assurée entre les utilisateurs (ceux qui utilisent l'accès), les responsables de l'autorisation (ceux qui approuvent l'accès) et
les administrateurs d'utilisateurs (ceux qui créent/suppriment l'accès). Il peut également y avoir un quatrième lien si, par
exemple, un employé des opérations informatiques crée/supprime en pratique un accès au nom de l'administrateur des
utilisateurs.
La séparation des fonctions s'effectue par une séparation nette des tâches de travail et des droits d'accès, où les tâches/
accès des personnes mentionnées ci-dessus ne se chevauchent pas autant que possible. Par exemple, un administrateur
d'utilisateurs ne doit pas approuver son propre accès à un système informatique et, si cela ne peut être techniquement
empêché, il doit exister une procédure d'approbation garantissant une documentation valide pour l'approbation du
responsable de l'autorisation. Avec les procédures manuelles basées sur des formulaires, il peut s'avérer nécessaire de
concevoir le formulaire d'autorisation de manière à ce qu'il ne puisse pas être corrigé une fois que l'agent chargé de
l'autorisation a approuvé l'accès.
Des règles sont imposées ou un obstacle technique est établi pour qu'un agent d'autorisation approuve les
modifications de son propre accès.
Si l'option est présente dans le système informatique, les droits d'accès de l'utilisateur administrateur sont limités pour permettre
uniquement la gestion des droits dans le système informatique. Ainsi, l'administrateur des utilisateurs ne peut pas
accéder lui-même aux données du système informatique où il contrôle l'accès des autres aux données.
24
Lors de l'attribution d'un nouvel accès en relation avec un nouvel emploi ou une réaffectation dans l'organisation, des
procédures ou des descriptions sont établies qui garantissent qu'une situation ne puisse pas survenir dans laquelle un
employé obtiendrait un accès au-delà de la séparation des fonctions souhaitée. Il peut éventuellement être sécurisé via le
formulaire utilisé lors de l'octroi des droits d'accès.
Il est garanti que l'accès, qui n'a qu'un objectif opérationnel informatique, n'est accordé qu'au personnel d'exploitation
informatique disposant de la formation appropriée et, si possible, également pour une durée limitée.
La séparation des fonctions n’est pas seulement importante entre les humains, mais aussi entre les robots. Si l'on utilise du
RPA (Robotic Process Automation) ou similaire et que des droits d'accès sont accordés aux utilisateurs du robot à cet égard, il
peut sembler que l'absence de séparation des fonctions n'entraîne pas les mêmes risques que si les mêmes droits étaient
combinés avec une personne physique. Faire des économies sur les licences d'utilisation des robots peut être tentant
d'accorder à un robot autant de droits d'accès que possible, mais cela peut présenter un risque plus élevé si, par exemple, un
pirate informatique ou un développeur de logiciels a la possibilité d'abuser des droits de ce robot.
L'article 5, paragraphe 1, point f) du RGPD concerne l'intégrité et la confidentialité des données personnelles, et celles-ci ne sont généralement
pas suffisamment sécurisées, sans un certain degré de séparation fonctionnelle. Toutefois, l'évaluation des risques effectuée par le
responsable du traitement conformément à l'article 32 du RGPD peut indiquer qu'une séparation fonctionnelle n'est pas nécessaire en ce qui
concerne un traitement spécifique de données personnelles.
La possibilité de mettre en œuvre cette mesure peut également être limitée par la taille de l'organisation et, par conséquent, une
séparation fonctionnelle ne peut pas être envisagée, par exemple dans une entreprise composée de deux personnes.
25
Mesure:
Gestion des comptes utilisateurs temporaires
Un accès plus large offre une « surface d'attaque » plus grande aux acteurs malveillants : ils disposent, pour ainsi dire, de
plus de briques avec lesquelles construire leurs attaques. Les accès qui ne sont plus nécessaires présentent donc un risque
inutile et doivent donc être fermés. La connaissance préalable du moment où un accès n’est plus nécessaire peut être
utilisée pour garantir une fermeture rapide de l’accès. Il est donc
une mesure préventive qui peut réduire la probabilité qu'un accès soit utilisé à mauvais escient par une
personne autre que l'utilisateur prévu (autorisé).
Si l'option existe, une date d'expiration sera déjà fixée sur le droit d'accès lors de l'établissement de l'accès. Elle pourra
éventuellement être gérée de manière centralisée via les données d'un système RH avec des informations actualisées
sur les dates de démission. La date d'expiration peut être pertinente, par exemple, lors de l'embauche de consultants
externes liés à un projet avec un horizon temporel clair. Alternativement, cela peut être fait manuellement avec des
rappels dans une fonction de calendrier.
Les mesures de date d'expiration peuvent également contribuer à réduire l'arriéré de tâches concernant l'emploi et la
démission, qui peuvent survenir à la fin du mois ou simplement à cause d'une accumulation aléatoire de tâches, ce qui
signifie qu'on n'a pas le temps de fermer tous les accès exactement au moment où un emploi prend fin.
Dans les grandes organisations, la mesureGestion centralisée des droits peut empêcher
l’accumulation de tâches et soutenir une solution plus systématique à la tâche.
Il s'agit d'une évaluation des risques conformément à l'article 32 du RGPD qui montrera quelles mesures sont pertinentes.
Si, par exemple, l'organisation compte peu d'employés, ou si les embauches ou les démissions sont rares, des procédures
écrites peuvent suffire, et cette mesure ne contribuera pas de manière significative à la sécurité.
systèmes informatiques existants, la protection des données doit être prise en compte dans la conception et les paramètres par défaut. La
fermeture automatique des accès nécessite que la fonctionnalité soit intégrée aux systèmes informatiques qui contrôlent l'accès.
26
Mesure:
Évitez l’utilisation inutile de comptes multi-utilisateurs
Les comptes multi-utilisateurs se caractérisent par des accès utilisables par plusieurs utilisateurs, et correspondent
donc en réalité à une connexion impersonnelle ou anonyme aux systèmes informatiques. Les actions réalisées lors
d'une telle connexion ne peuvent donc pas être attribuées à une seule personne physique, ce qui limite la possibilité
de vérifier si une utilisation spécifique ou un accès à l'information a été justifié. Il peut s'agir, par exemple, de comptes
d'utilisateurs de test, qui sont utilisés tour à tour par différents développeurs, sans qu'il soit clair qui s'est connecté et
quand. Dans le secteur de la santé, il peut s'agir de l'accès aux équipements dans les salles d'examen (Centres de
Santé), où plusieurs groupes de spécialistes accompagnent simultanément un patient.
Les comptes multi-utilisateurs peuvent être une tentation d’abus. De plus, les mesures de journalisation n’auront que peu ou pas
d’effet préventif contre les abus si les utilisateurs savent qu’ils peuvent se cacher derrière une telle connexion anonyme.
Éviter ou limiter l'utilisation de comptes multi-utilisateurs constitue donc une mesure préventive qui peut réduire le risque
d'abus des droits d'accès. Le bénéfice ne se limite pas à une utilisation abusive délibérée. Lorsque plusieurs personnes
partagent un identifiant, elles partagent effectivement la responsabilité du traitement des données personnelles qui a lieu
via cet identifiant, et lorsque plusieurs personnes partagent la responsabilité, l'individu se sent souvent moins, voire pas du
tout, responsable. Il s'agit d'un effet psychologique. Enfin, l'accès anonyme peut augmenter la probabilité que les facteurs
d'accès (par exemple, le mot de passe) ne soient pas gérés correctement - pour plusieurs raisons :
• Les mots de passe peuvent être partagés entre des personnes qui n'ont pas nécessairement été autorisées.
L'utilisateur individuel ne ressent pas une grande responsabilité dans la protection du mot de passe, car celui-ci
est déjà partagé avec ses collègues.
• Les mots de passe ne peuvent pas être modifiés lorsque des personnes quittent le groupe d'utilisateurs et ne doivent donc
plus y avoir accès.
• Les mots de passe que l'utilisateur n'a pas choisis lui-même sont souvent plus difficiles à retenir
et sont donc écrits.
Les systèmes et procédures informatiques sont conçus de manière à empêcher autant que possible l'accès anonyme. Cela
signifie que les facteurs d'accès (par exemple, les mots de passe) sont personnels et connus uniquement de l'utilisateur
individuel.
Tous les comptes de service dont la connexion est codée dans le logiciel sont protégés contre toute utilisation abusive.
27
Si les identifiants d'utilisateur sont réutilisés (transmis à une autre personne), cela est enregistré lorsque cela s'est produit. De
cette manière, l’organisation sait toujours qui a pu utiliser cet identifiant utilisateur à un moment donné. C'est généralement
le cas des comptes d'utilisateurs utilisés pour des tests ou des emplois temporaires (consultants externes, intérimaires,
étudiants).
S'il n'est pas possible d'éviter le partage des facteurs d'octroi d'accès entre plusieurs personnes, des procédures sont
établies pour garantir qu'un changement dans le groupe d'utilisateurs entraîne également une modification du
facteur d'octroi d'accès. Cela signifie que seul le groupe d'utilisateurs actuel peut se connecter.
Un bon complément est la formation et l'information des utilisateurs sur la manière de gérer et de protéger les
facteurs d'accès, afin que l'utilisateur sache qu'il est toujours responsable des actions effectuées lors de la connexion.
Cela découle généralement de l'article 5, paragraphe 1, point f) du RGPD, que les données personnelles doivent être traitées de
manière à garantir la protection contre un traitement non autorisé ou illégal. Une évaluation des risques conformément à l'article
32 du RGPD montrera quelles mesures sont pertinentes, car les risques et les opportunités dépendent fortement des
circonstances spécifiques. Comme le montre ce qui précède, l'utilisation d'une connexion anonyme peut augmenter la probabilité
d'une utilisation abusive délibérée, d'un manque de sens des responsabilités et d'autres éléments entraînant un traitement non
autorisé/illégal des données.
28
Mesure:
Évitez de copier les droits d’accès sans prendre activement position
Il peut être plus facile de créer de nouveaux utilisateurs en copiant les droits d'accès d'un utilisateur (qui possède déjà
ces droits) vers le nouvel utilisateur. Cependant, cela entraînera les risques suivants :
• S'il y a des erreurs dans les droits d'accès copiés, par exemple des accès qui auraient dû être
fermés plus tôt, l'erreur sera copiée vers un autre utilisateur.
• L'ordonnateur peut ne pas savoir ce qui est copié et ne décide donc pas activement s'il est
nécessaire de tout copier.
• Les droits d'accès de l'utilisateur existant peuvent changer entre le moment de l'approbation du
gestionnaire d'autorisations et le moment de la copie des droits d'accès, et des doutes peuvent ainsi
surgir quant à ce qui a été approuvé. Des doutes peuvent ainsi surgir quant à savoir si l'administrateur
des utilisateurs a traité correctement la tâche ou quels droits d'accès le gestionnaire d'autorisations a
effectivement approuvé pour la copie.
• Étant donné que la personne responsable de l'autorisation n'indique pas spécifiquement quels droits d'accès
doivent être accordés, il n'est pas clair de quoi la personne responsable de l'autorisation peut ensuite être tenue
responsable si plus de droits d'accès que nécessaire sont accordés et que ceux-ci sont utilisés de manière abusive.
En gérant rigoureusement le processus d’autorisation et en prenant activement en compte les droits d’accès, ces
risques peuvent être minimisés. En d'autres termes, il s'agit d'une mesure préventive qui peut minimiser le risque
de droits d'accès incorrects.
Utilisez une procédure d'attribution dans laquelle les droits d'accès de l'utilisateur sont "créés à partir de zéro" et la
copie des droits d'accès n'est pas acceptée. Alternativement, une copie contrôlée des droits d'accès peut être réalisée,
en tenant compte des risques mentionnés ci-dessus, par exemple en considérant chaque droit individuel dans un
formulaire pour chaque utilisateur, qui peut être signé par la personne responsable de l'autorisation. L'utilisation
d'un formulaire garantit également la documentation et le processus favorise la responsabilité de la personne
responsable de l'autorisation.
Voir aussi la mesureDocumentation des autorisations .
29
L’article 5(1)(f) du RGPD concerne l’intégrité et la confidentialité des données personnelles. Moins les personnes ont accès
aux données personnelles, plus le risque que certains de ces utilisateurs peuvent poser par des actions accidentelles ou
malveillantes est réduit. Moins l’utilisateur individuel a accès à des données, moins les conséquences potentielles si certains
de ces utilisateurs endommagent les données par des actions accidentelles ou malveillantes sont faibles. Dans le même
temps, cela a également un effet protecteur contre les cybermenaces, car un pirate informatique agit souvent via des droits
d'accès dans des comptes d'utilisateurs compromis, et moins de droits donnent donc moins de possibilités au pirate
informatique. Les droits d'accès doivent donc être limités autant que possible.
30
Mesure:
Enregistrement de l'utilisation des données personnelles par les utilisateurs
L'un des objectifs de la journalisation est de permettre l'investigation des événements passés dans les systèmes informatiques. Par exemple, le
journal peut montrer quelles actions les utilisateurs ont effectuées dans un système informatique, mais également ce que le système
informatique a fait. Dans certains cas, les journaux peuvent également être utilisés pour détecter des incidents en cours et ainsi
éventuellement limiter les dégâts en détectant et en arrêtant les actions non autorisées. Si les utilisateurs savent que leur utilisation des
données personnelles dans les systèmes informatiques est enregistrée et analysée, cela peut aider à contrecarrer une utilisation abusive
délibérée telle que la surveillance. Voir aussi les mesuresJournaux d'échantillonnage de l'utilisation des données personnelles par les
utilisateurs etConscience . Selon les circonstances, il s'agit de :
• unmesure préventivece qui peut réduire leprobabilitéd'abus du droit d'accès et,

• undétectionetcorrectifmesurer si le journal est activement utilisé dans le cadre de la détection et
de l’arrêt d’un incident en cours.
Des systèmes informatiques sont développés et configurés pour enregistrer toutes les utilisations des données personnelles par les utilisateurs, y compris
la lecture, l'ajout, la recherche (éventuellement des critères de recherche), la modification, l'extraction et la suppression - quelle que soit la manière dont
l'utilisation des données personnelles est effectuée par l'utilisateur. Les systèmes informatiques pertinents sont développés/adaptés pour permettre cette
journalisation.
Les systèmes informatiques sont développés pour pouvoir stocker les données de journal pendant une période de temps spécifique, par exemple les x
derniers mois. L'activation de la suppression automatique des journaux est importante pour le principe de minimisation des données de l'article 5,
paragraphe 1, point c) du RGPD.
La durée de conservation du journal est définie en fonction de son objectif. Ainsi, si un journal doit être utilisé pour suivre des abus, il
peut être approprié de définir la durée de conservation en fonction de la fréquence à laquelle les droits d'accès sont vérifiés (voir
Contrôles périodiques de l'actualité des droits d'accès ). La découverte d'erreurs dans ces droits peut nécessiter un examen des
journaux pour au moins la période écoulée depuis la vérification précédente, car il s'agira de la période pendant laquelle les droits
incorrects existaient et pourraient être utilisés à mauvais escient. Cependant, la nécessité d'enquêter sur les cyberattaques peut
nécessiter une durée de conservation plus longue, et il en va de même pour les journaux stockés dans le cadre d'une enquête sur un
incident spécifique ou une utilisation abusive présumée.
Les journaux sont stockés dans un endroit où ils sont protégés en termes de confidentialité, d'intégrité et de disponibilité. Par
exemple, un serveur de journaux peut être créé pour collecter des copies des journaux de divers systèmes informatiques.
Des procédures garantissent que les personnes ayant un accès privilégié à ces systèmes informatiques ne
31
avoir accès à la copie des journaux du serveur de journaux. Le serveur de logs est également spécifiquement protégé contre les
cyberattaques pouvant affecter les systèmes informatiques.
Il est garanti qu'il devient possible pour le responsable du traitement d'obtenir les journaux des sous-traitants
sans difficulté ni frais majeurs.
Garantir des conseils accessibles sur la façon d’interpréter les journaux et tester l’interprétation en utilisant les
conseils. Cela peut être fait, par exemple, par un test aveugle où une personne effectue/documente des actions
et une autre personne utilise les conseils pour interpréter le journal, puis les perceptions des deux personnes
sur ce qui s'est passé sont comparées.
Le journal est testé efficacement. S'il existe plusieurs méthodes de visualisation des données, il est testé que celles-ci sont
enregistrées quelle que soit la méthode utilisée.
Il est vérifié si les journaux sont toujours enregistrés comme prévu et si les données des journaux sont stockées
suffisamment longtemps et peuvent être interprétées avec les directives actuelles ou un système informatique associé. Il
s'agit donc d'un test d'une mesure établie, cf. Article 32, paragraphe 1, point d), du RGPD. Le contrôle est effectué lors des
modifications du système dans le cadre de la gestion des modifications, mais aussi éventuellement entre-temps s'il y a un
long délai entre les modifications du système. Voir leGestion du changementmesure.
Si possible, le journal est configuré de manière à permettre de cibler des échantillons d'utilisation des données par les utilisateurs afin
de vérifier leur utilisation à des fins professionnelles. De cette manière, la journalisation prendra en charge les contrôles aléatoires, de
sorte que les contrôles aléatoires puissent se concentrer sur des utilisations susceptibles de violer les directives internes ou de
s'apparenter à de la surveillance.
Pour l'accès physique direct aux registres contenant des données personnelles, l'enregistrement dans le système d'accès physique
est également couvert par les mesures ci-dessus.
Si les journaux doivent avoir un effet préventif et donc être unpréventifCette mesure nécessite que les utilisateurs soient
informés que les abus peuvent être détectés (via des logs) et sanctionnés. Cela suppose également que toutes les actions
peuvent être attribuées à une seule personne physique, c'est pourquoi les mesuresÉvitez toute utilisation inutile de comptes
multi-utilisateurs etConscience doit également être pris en compte.
La journalisation est activée au plus tard lors de la mise en service du système informatique.
Il s'agit avant tout d'une évaluation des risques conformément à l'article 32 du RGPD qui doit montrer quelles mesures sont
pertinentes, car les risques dépendent fortement du traitement des données personnelles effectué dans les différents
systèmes informatiques, ainsi que de l'effet préventif que l'on peut en attendre. les utilisateurs savent que leurs actions sont
enregistrées et peuvent faire l'objet d'une enquête rétrospective.
En général, on peut dire que l'utilisation de systèmes informatiques contenant les données de nombreuses personnes est plus
risquée car il existe un plus grand risque d'utilisation abusive, et plus il y a de personnes qui y ont accès, plus il est grand.
32
la probabilité que quelqu'un puisse abuser de l'accès, par exemple à des fins privées ou à des fins qui ne sont pas spécifiquement
liées au travail. Cependant, l'évaluation des risques doit prendre en compte les risques liés à la confidentialité, à l'intégrité et à la
disponibilité, de sorte que d'autres aspects peuvent également nécessiter une journalisation.
Article 25 du Règlement : Lors du développement ou de l'acquisition de nouveaux systèmes informatiques ou du développement/

modification de systèmes informatiques existants, la protection des données doit être intégrée dans la conception et les paramètres
par défaut. Pour pouvoir enregistrer les utilisations des données personnelles, la fonctionnalité doit être intégrée au système
informatique. Cela inclut la possibilité de stocker le journal dans un emplacement sécurisé où il est davantage protégé contre l'accès/
la manipulation par les utilisateurs ou les pirates. Le paramètre par défaut doit être que la journalisation est activée par défaut.
L’enregistrement de l’utilisation de données personnelles confidentielles et sensibles est une exigence des pouvoirs publics
depuis de nombreuses années. Pour les autorités de l'État, la journalisation est requise dansle minimum technique exigences
pour les autorités de l'État .
En général, il est recommandé d’envisager la journalisation de manière plus large, afin que la journalisation soit assurée à la
fois par rapport à ce qui précède et par rapport aux menaces. ce qui précède et en ce qui concerne les menaces sur lesquelles
le Centre pour la cybersécurité se concentre à traversleurs recommandations sur la journalisation.
Voir également les conseils sur l'accès non autorisé
33
Mesure:
Journalisation des actions de l'administrateur utilisateur
Cette mesure a essentiellement le même objectif que laEnregistrement des utilisations des données personnelles par les utilisateurs
mesure, mais les exigences concernant le contenu du journal peuvent être différentes car l'accent doit être mis sur la détection des
abus des droits d'accès des utilisateurs administrateur.
La vérification des actions d'un administrateur d'utilisateurs peut avoir un objectif et une fréquence différents de la vérification des
actions d'autres utilisateurs. Concernant les contrôles aléatoires, voir la description des mesures sous la mesureÉchantillonnage dans
le journal de l'utilisation des données personnelles par les utilisateurs .
Voir la description de la mesureEnregistrement de l'utilisation des données personnelles par l'utilisateur.
Identique auEnregistrement de l'utilisation des données personnelles par les utilisateursmesure. Étant donné que l'administrateur des utilisateurs peut
généralement donner accès à plusieurs systèmes informatiques à d'autres personnes, et éventuellement à lui-même, il existe une raison particulièrement
bonne de garantir le contrôle des actions de cette personne.
Article 25 du RGPD : Lors du développement ou de l'acquisition de nouveaux systèmes informatiques ou du développement/

par défaut. Afin de pouvoir enregistrer les actions de l'administrateur des utilisateurs, la fonctionnalité doit être intégrée au système
informatique utilisé pour l'administration des utilisateurs, y compris notamment la fonctionnalité selon laquelle le journal doit pouvoir
être stocké dans un emplacement sécurisé auquel l'administrateur des utilisateurs ne peut pas accéder. / le manipuler via leurs droits
d'accès privilégiés.
34
Mesure:
Minimiser le nombre d’agents d’autorisation et d’administrateurs

d’utilisateurs
Des droits d'accès plus étendus que nécessaire peuvent présenter un risque inutile deperte de confidentialité,
d’intégrité et de disponibilitépar une mauvaise manipulation ou une utilisation purement abusive. En limitant le
nombre de personnes pouvant accorder des droits d'accès, le risque d'erreurs et d'utilisation abusive est minimisé. En
d'autres termes, c'est unpréventifmesure susceptible de réduireprobabilitéd'octroi erroné ou incohérent des droits
d'accès.
Cette mesure peut également réduire le risque de cyberattaques externes, car il est moins probable que la compromission de
la connexion d'un utilisateur aléatoire lui permette immédiatement de contrôler les droits d'accès à un ou plusieurs systèmes
informatiques. La mesure est donc également pertinente en termes d'atténuation desimpactd'utilisation abusive des droits
d'accès des utilisateurs autorisés.
Désignez le moins de gestionnaires d’autorisations possible.
Limitez la fonction organisationnelle responsable de la gestion des utilisateurs au plus petit nombre de personnes
possible. Cela peut s'avérer difficile si les administrateurs des utilisateurs sont dispersés dans toute l'organisation.
C'est pourquoi la mise en œuvre simultanée duGestion centralisée des droits Cette mesure renforcera l’effet préventif
global.
L’article 5(1)(f) du RGPD concerne l’intégrité et la confidentialité des données personnelles. Moins un utilisateur individuel
peut faire avec les données auxquelles il a accès, moins l'impact potentiel si certains de ces utilisateurs compromettent
l'intégrité et la confidentialité des données par des actions involontaires ou malveillantes est important. Cela a également un
effet protecteur contre les cybermenaces, car un pirate informatique opère souvent via des droits d'accès dans des comptes
d'utilisateurs compromis, et moins de droits limitent les options du pirate informatique. C'est pourquoi les droits d'accès
doivent être limités autant que possible - et il faut également limiter qui peut accorder de nouveaux droits d'accès.
L'évaluation du risque par le responsable du traitement conformément à l'article 32 du règlement peut montrer quelles
mesures sont pertinentes. Par exemple, dans le cas d’une organisation composée de deux personnes, il peut être nécessaire
que toutes deux soient capables de gérer les droits d’accès sans augmenter significativement les risques d’abus, etc.
35
Mesure:
Minimiser les droits d’accès privilégiés
Une attaque de pirate informatique typique implique souvent que le pirate informatique acquière davantage de droits
d'accès, car cela offre plus d'options dans les systèmes informatiques que les droits d'accès d'un utilisateur normal. Si le
pirate informatique est en mesure d’utiliser un compte utilisateur doté de droits d’accès privilégiés, cela pose généralement
plus de problèmes. Minimiser l’utilisation des droits d’accès privilégiés rend cet objectif plus difficile à réaliser. Il s'agit d'une
mesure préventive qui peut minimiser les conséquences si un attaquant réussit à s'emparer d'un compte utilisateur.
Le défi est que quelqu’un doit toujours disposer de droits d’accès privilégiés. Ainsi, en plus de limiter qui dispose de
ces privilèges, vous pouvez également attribuer au même utilisateur deux comptes d'utilisateur : un régulier avec des
privilèges normaux et un avec plus de privilèges. En n'utilisant le compte d'utilisateur privilégié que lorsque cela est
absolument nécessaire, vous limitez son exposition - mais pas si l'employé utilisera ce compte la plupart du temps. La
séparation en deux comptes peut également avoir l'effet positif de sensibiliser l'utilisateur au moment où il travaille
avec des droits d'accès qui peuvent causer plus de dommages (en cas d'erreurs). La répartition n'a pas
nécessairement de sens dans les petites organisations ou si l'employé spécifique effectue uniquement des tâches
nécessitant un accès privilégié.
L'accès administrateur des utilisateurs est considéré comme un accès privilégié car il peut être utilisé de manière abusive par rapport
aux comptes d'utilisateurs normaux. D'autres types d'accès privilégiés sont utilisés pour les opérations informatiques, comme l'accès
direct à une base de données, appelé « accès SQL ». Cela peut permettre une manipulation directe de la base de données, c'est-à-dire
en contournant les restrictions d'accès et les fonctionnalités de sécurité que l'on trouve normalement dans les applications situées
entre l'utilisateur et la base de données. Ce type d'accès est très risqué et n'est utilisé que dans les conditions suivantes :
• Accordé uniquement en cas d’absolue nécessité (limité dans le temps).

• Uniquement accordé aux personnes ayant des tâches opérationnelles informatiques et les compétences appropriées.
• Accordé uniquement après une certaine forme d’habilitation de sécurité et éventuellement sous réserve d’un casier judiciaire vierge.
• L'utilisation est enregistrée et le journal est stocké dans un endroit où il n'est pas accessible aux personnes utilisant
l'accès.
36
Il s'agit avant tout d'une évaluation des risques selon l'article 32 du RGPD qui montrera quelles mesures sont
pertinentes, car les risques dépendent fortement des dommages que l'utilisateur peut causer avec des droits d'accès
privilégiés. Dans le même temps, cela a également un effet protecteur contre les cybermenaces, car un pirate
informatique agit souvent via des droits d'accès dans des comptes d'utilisateurs compromis, et moins de droits lui
donnent moins d'options.
Pour les autorités de l'État : Voir la réclamation n° 6 iles exigences techniques minimales pour les autorités de l'État .
37
Mesure:
Contrôle périodique de l'actualité des droits d'accès
La gestion des droits est un processus qui implique généralement plusieurs personnes et des erreurs peuvent
survenir. Il peut également y avoir un manque d’attention portée à la fermeture des accès/droits d’accès inutiles. Un
audit des droits d’accès peut détecter de telles erreurs qui pourraient autrement exister pendant des années. C'est un
correctifmesure susceptible de réduireprobabilitéd'abus de droits d'accès inutiles.
Une vérification peut comprendre une ou plusieurs des enquêtes suivantes :
• Si les droits d'accès effectivement établis sont couverts par une autorisation actuelle et
documentée.
• Si l'accès aurait dû être fermé auparavant en raison d'une autorisation limitée dans le temps /
expirée, d'une démission, d'un congé ou pour d'autres raisons.
• Si les autorisations sont à jour, c'est-à-dire si toutes les approbations des droits d'accès sont
nécessaires et basées sur un besoin lié au travail.
• S'il existe des comptes d'utilisateurs qui ne sont plus utilisés par l'utilisateur autorisé (« comptes
fantômes ») et doivent donc être fermés.
Les options et la solution la plus simple dépendent des systèmes informatiques utilisés. Les droits d'accès sont vérifiés
par rapport à une source crédible et à jour. Il s'agit généralement d'un système RH qui indique qui est actuellement
employé et quel poste il occupe. Si l'organisation utilisedroits d'accès basés sur les rôles, l'enregistrement dans le
système RH peut indiquer très précisément qui doit avoir accès à quoi et quels accès doivent être fermés.
Les « contrôleurs » ayant des rôles différents (directeur général, responsable de la sécurité informatique, propriétaire du
système, etc.) ont des intérêts différents, et cela doit être pris en compte lors de la définition et de l'explication de la tâche de
contrôle au contrôleur. Si le responsable doit contrôler les droits d'accès de ses propres employés, il peut se concentrer
davantage sur la question de savoir si les droits nécessaires ont été établis plutôt que de savoir si certains utilisateurs
disposent de trop de droits.
L'objectif d'un contrôle peut également être d'économiser de l'argent sur les licences d'utilisation, qui peuvent supprimer des droits
d'accès inutiles, mais il ne s'agit toujours pas de savoir si les droits sont nécessaires pour remplir un objectif.besoin lié au travail.
38
La fréquence des contrôles mentionnés ci-dessus est adaptée en fonction des problèmes révélés par le contrôle. Si le
contrôle montre que les erreurs sont rares, moins de contrôles peuvent suffire à l’avenir. Si, en revanche, le contrôle
révèle de nombreuses erreurs, il peut être nécessaire d’en augmenter la fréquence ou l’étendue. De nombreuses
erreurs peuvent également indiquer que d’autres mesures/processus ne fonctionnent pas de manière optimale. Dans
ce cas, il peut être plus pertinent de tenter de corriger la gestion quotidienne des droits d’accès plutôt que
d’augmenter la fréquence des contrôles.
L'autorité danoise de protection des données a déclaré qu'elle estime que l'exigence d'une sécurité appropriée prévue
à l'article 32, paragraphe 1, du RGPD impliquera normalement que le responsable du traitement vérifie en
permanence si les droits d'accès aux systèmes informatiques sont limités aux données personnelles qui sont
nécessaires et pertinents par rapport aux besoins professionnels de l’utilisateur en question.
En effet, quelle que soit la rigueur avec laquelle les droits d'accès sont gérés, il existe de nombreux endroits où les choses
peuvent mal tourner dans un tel processus qui implique souvent de nombreuses personnes. Il est donc probable qu’il y ait
des erreurs qui ne seront découvertes que grâce à des contrôles périodiques.
39
Mesure:
Pseudonymisation et anonymisation
Les données anonymisées ne sont pas soumises aux règles de protection des données ni aux exigences de sécurité des données
personnelles qui en découlent. L'anonymisation est un processus qui garantit que les données ne peuvent pas être liées à une
personne physique.
Les données personnelles pseudonymisées sont des données qui ne peuvent être attribuées à une personne physique que
par l'utilisation d'informations supplémentaires, mais dont l'accès à ces informations supplémentaires est très restreint. La
pseudonymisation peut être utilisée, par exemple, si certains utilisateurs doivent utiliser un ensemble de données sans
pouvoir identifier des individus dans cet ensemble de données. Les informations complémentaires permettant d’identifier les
individus dans le jeu de données peuvent se retrouver par exemple dans un autre système informatique auquel les mêmes
utilisateurs n’ont pas accès.
Un utilisateur qui a uniquement accès à des données anonymisées n'a pas accès aux données personnelles. Un utilisateur qui
n'a accès qu'à des données pseudonymisées ne pourra pas les relier à une personne physique (avec ses droits d'accès). C'est
unpréventifmesure susceptible de réduireconséquencesd'utilisation abusive des comptes d'utilisateurs, que cette utilisation
soit effectuée par l'utilisateur autorisé ou par un pirate informatique qui s'approprie les droits d'accès de l'utilisateur.
Les possibilités de mise en œuvre de l'anonymisation ou de la pseudonymisation dépendent des systèmes

informatiques et des tâches exécutées dans l'organisation spécifique. La véritable anonymisation et la
pseudonymisation sont des processus difficiles qui nécessitent de comprendre comment les individus d’un ensemble
de données peuvent être identifiés.
Selon l'article 32 du RGPD, cela doit indiquer quelles mesures sont pertinentes, et le même article mentionne
également la pseudonymisation comme mesure potentiellement pertinente. Il convient de noter que la
pseudonymisation et l'anonymisation sont des mesures pertinentes au regard du principe de minimisation des
données énoncé à l'article 5, paragraphe 1, point c), du RGPD.

par défaut. La possibilité d'une pseudonymisation ou d'une anonymisation nécessite qu'elle soit prise en compte dans la conception.
40
du système informatique et qu'il fonctionne avec les tâches de travail des employés. Les paramètres par défaut
peuvent, entre autres, permettre une pseudonymisation automatique, par exemple en fonction de l'ancienneté des
données ou de la fin d'une relation client.
À propos de la pseudonymisation et de l’anonymisation :Que sont les données personnelles ?
Sur ce qu'il faut pour garantir une anonymisation efficace dans un ensemble de données :Document de travail 216 du groupe
de travail Article 29, "Avis 05/2014 sur les techniques d'anonymisation"
41
Mesure:
Droits d'accès basés sur les rôles
Dans les grandes organisations dotées de nombreux systèmes informatiques, déterminer quels droits d’accès sont
appropriés peut s’avérer une tâche complexe. Cela augmente le risque d'erreurs lors de l'établissement des droits.
L'attribution d'accès basée sur les rôles permet au gestionnaire d'autorisations d'évaluer et d'approuver plus facilement les
demandes d'accès, car elle ne nécessite pas de compréhension des besoins d'accès de chaque système informatique, mais
simplement une connaissance des rôles/tâches des utilisateurs. Cela facilite la tâche de toutes les parties impliquées,
minimisant ainsi le risque d'erreurs. En d'autres termes, c'est unpréventifmesure susceptible de minimiserprobabilité
d'erreurs lors de l'attribution des droits.
Les droits d'accès sont regroupés en fonction des rôles/tâches des utilisateurs afin qu'ils couvrent les besoins professionnels les plus
typiques en relation avec la fonction de travail individuelle, tels qu'un employé des ressources humaines, un comptable, un support
client, etc. Cela peut également faciliter la tâche de définir les droits d’accès aux systèmes informatiques.
Le besoin dépend de la complexité de votre environnement informatique. C’est donc une évaluation des
risques selon l’article 32 du RGPD qui montrera quelles mesures sont pertinentes.

par défaut. La possibilité de simplifier l'attribution des droits peut dépendre de la conception des systèmes informatiques.
42
Mesure:
Corrélation entre les compétences des utilisateurs, les droits d'accès et les tâches
Un traitement incorrect des données peut entraîner des violations involontaires de la sécurité, telles que la publication ou la
divulgation de données personnelles qui auraient dû être omises. Le risque peut être évité en s'assurant que chaque
utilisateur dispose des compétences nécessaires pour utiliser son autorisation et gérer correctement les données. Il s'agit
d'une mesure préventive qui minimise la probabilité d'erreurs de traitement des données.
De nombreuses failles de sécurité surviennent chez les utilisateurs qui utilisent l'informatique au quotidien et qui ont donc le
sentiment de comprendre la technologie, mais qui commettent néanmoins des erreurs. Dans certains cas, cela est dû au fait que
l'utilisateur ne se concentre pas sur la sécurité, ou parce que le traitement sécurisé des données nécessite une compréhension
spécialisée de l'informatique, une compréhension différente de celle requise pour effectuer les tâches de l'utilisateur. Dans certains
cas, les failles de sécurité sont directement causées par un manque de compréhension de la différence entre le monde physique et
électronique, par exemple si l'utilisateur estime que des données ont été effectivement supprimées d'un document alors que ces
données ne sont pas immédiatement visibles (sur le écran d'ordinateur).
Lors de l'approbation d'un nouvel accès, une procédure est en place pour garantir que l'employé en question possède les
compétences nécessaires pour gérer les données en toute sécurité afin d'éviter autant que possible les failles de sécurité. Il
s'agit d'éviter de donner aux utilisateurs des marges de manœuvre (via des droits d'accès) qui sortent de leurs compétences
et de leur domaine d'intervention.
Voici quelques exemples où l’accès des utilisateurs est considéré en conjonction avec les bonnes
compétences.
• L'accès n'est accordé que lorsque le salarié possède les compétences nécessaires. Si l'accès est
déjà établi, l'employé reçoit les compétences appropriées avant que la tâche ne doive être
accomplie.
• Les droits d'accès pour publier des données sur un site Internet ne sont accordés qu'aux salariés pour lesquels cette tâche constitue un
domaine de travail principal, et seulement après une formation sur la façon de rechercher et de filtrer les données personnelles susceptibles
d'être stockées dans les métadonnées d'un document, dans un ensemble de données. derrière un graphique dans une présentation ou dans
des cellules cachées dans une feuille de calcul. Les outils et compétences qui leur permettent de supprimer des données (pas seulement de les
masquer) et de comprendre quand les données sont anonymisées peuvent également être pertinents.
• Le traitement électronique des demandes d'accès n'est effectué que par des employés disposant d'outils et
de compétences leur permettant de supprimer efficacement les données (pas seulement de les masquer) et
après une formation sur les exigences légales pertinentes concernant l'étendue de l'accès.
43
• Les données personnelles ne sont envoyées en dehors de l'organisation que par des collaborateurs formés
aux exigences d'une transmission (sécurisée). Si possible, ils disposent également d'outils qui facilitent l'envoi
de données en toute sécurité.
• La journalisation des documents/lettres qui sont automatiquement publiés en même temps est effectuée par un
petit nombre de collaborateurs pour lesquels cette tâche constitue le principal domaine de travail. S'il y a
publication automatique des documents dans le système de journalisation, l'employé est également formé à son
fonctionnement.
• Certains droits d'accès peuvent impliquer un risque plus élevé que d'autres. Un employé disposant d'un accès en lecture
aux données peut compromettre la confidentialité des données en les transmettant à des personnes non autorisées. La
possibilité de supprimer des données comporte un risque supplémentaire : le risque que les données soient inaccessibles
si, par exemple, l'employé supprime accidentellement les mauvaises données. La possibilité de supprimer des données
peut également être liée à des exigences légales, telles que les règles de l'administration publique, qui peuvent interdire la
suppression dans certains contextes. Ces droits d'accès sont réservés aux salariés ayant reçu une formation sur les risques
pertinents et/ou les exigences légales et pour lesquels cette tâche constitue leur principal domaine de travail.
Il s'agit avant tout d'une évaluation des risques selon l'article 32 du RGPD qui montrera quelles mesures sont pertinentes, car
les risques spécifiques dépendent fortement de l'existence ou non de fonctions/tâches dans l'organisation pour lesquelles un
manque de compétences peut réellement constituer un risque.
Voir leConsciencemesure permettant de sélectionner des informations pertinentes supplémentaires à fournir au moment de
l’embauche ou lors de la modification des droits d’accès.
44
Mesure:
Exemples dans le journal de l'utilisation des données personnelles par les utilisateurs
Si les utilisateurs savent que l’utilisation des systèmes est surveillée, cela peut décourager toute utilisation abusive.
Utilisé à bon escient, c'est donc unpréventifet peut-être aussi undétectionmesure susceptible de réduireprobabilité
d’abus des droits d’accès. Bien entendu, cela suppose que toutes les actions puissent être attribuées à une seule
personne physique.Évitez l’utilisation inutile de comptes multi-utilisateurs la mesure est également pertinente.
La mesure de contrôle peut être particulièrement pertinente dans les situations où les droits d'accès ne peuvent pas être
limités de manière significative et où les utilisateurs doivent nécessairement avoir un large accès à de nombreuses données
personnelles dans le cadre de leur travail, et où il peut donc y avoir un risque particulier que quelqu'un soit tenté d'utiliser
leur accès sans que cela soit spécifiquement lié au travail.
L'échantillonnage des logs est réalisé selon une procédure fixe, sans que l'échantillonnage soit prévisible pour
les utilisateurs.
L'effet préventif nécessite que les utilisateurs soient conscients de la mesure de contrôle, voir leConscience
mesurez pour plus de détails.
Cela peut être un avantage si l'échantillon concerne une utilisation relativement récente, de sorte que l'on puisse raisonnablement s'attendre à
ce que l'utilisateur soit en mesure de rendre compte de son traitement.
La taille de l’échantillon est un jugement concret. Par exemple, s'il est possible de filtrer automatiquement un
grand nombre d'entrées dans les données comme étant liées au travail (par exemple en raison d'une relation
client connue, d'un espace de travail, d'une relation thérapeute/patient), alors l'échantillon des entrées
restantes peut être plus limité ou ciblé que si l’échantillon devait couvrir toutes les entrées.
Considérez la nécessité d'établir des alertes (par exemple basées sur les données des journaux) qui sont automatiquement
déclenchées par une activité suspecte. Cela peut compléter ou remplacer un échantillonnage plus aléatoire.
L'échantillonnage aléatoire continu sert également à vérifier que les journaux sont toujours enregistrés comme prévu et que les
données des journaux sont stockées suffisamment longtemps et peuvent être interprétées avec les directives actuelles. Il s'agit donc
également d'un test d'une mesure établie et donc couvert par l'article 32, paragraphe 1, point d), du RGPD. Voir la mesure
Enregistrement de l'utilisation des données personnelles par les utilisateurs .
45
Il s'agit avant tout d'une évaluation des risques conformément à l'article 32 du RGPD qui doit montrer comment les
contrôles aléatoires doivent être organisés, y compris leur portée et leur fréquence. En effet, le risque dépend du
traitement des données personnelles effectué dans les différents systèmes informatiques, ainsi que de qui et combien
de personnes y ont accès.
Dans le cas d'un accès large, c'est-à-dire lorsque les utilisateurs ont accès à une grande quantité de données personnelles
sensibles et/ou à des données sur de nombreuses personnes, des contrôles aléatoires tous les six mois seront souvent
nécessaires.
46
Mesure:
Contrôle des accès physiques
Les restrictions d'accès physique peuvent compléter les restrictions d'accès aux données électroniques, mais dans certains cas, la restriction
d'accès physique constitue la seule prévention d'un accès non autorisé aux données personnelles. Il s'agit d'un parallèle avec une connexion
électronique à des systèmes informatiques ou à des supports de données. Il s'agit d'une restriction d'accès contrôlée et donc d'unepréventif
mesure susceptible de minimiserconséquencessi l'accès de l'utilisateur est utilisé à mauvais escient ou de manière abusive.
Les exigences pour accéder électroniquement à un système informatique peuvent être moindres dans un environnement
physique (par exemple, un immeuble de bureaux) qu'à l'extérieur. Une connexion peut donc être plus compliquée lorsqu'un
utilisateur utilise un accès à distance que lorsque le même utilisateur se connecte depuis un bureau. Alternativement, l'accès
à distance peut être plus limité.
Il peut en outre exister des accès électroniques qui, pour des raisons de sécurité, ne sont possibles que dans un
certain cadre physique. Par conséquent, les droits d’accès physique peuvent jouer un rôle important dans la
protection des données personnelles, qu’elles soient stockées électroniquement ou sur papier.
Ce qui suit concerne essentiellement la protection de la confidentialité des données. La protection de l’intégrité ou de
la disponibilité peut nécessiter des mesures très différentes, telles qu’une sauvegarde en cas de vol d’équipement
informatique suite à un accès physique compromis.
Le personnel de la réception peut arrêter les personnes non autorisées et les réceptionnistes sont informés de la manière de
réagir face aux personnes qui n'ont normalement pas accès (personnes prétendant faire une course en tant qu'artisans,
informaticiens, etc.), dans quelle mesure les personnes doivent être identifiées, si elles doivent être accompagnés, etc. L'accès
des invités via un bureau de réception est enregistré.
Si le personnel d'accueil ne peut pas connaître tous les salariés, il est probablement plus sûr d'utiliser des supports
d'accès personnalisés tels que des cartes d'accès électroniques associées à un code personnel. La carte et le code
doivent être attribués, enregistrés et bloqués selon les mêmes principes que les autres droits de gestion utilisés pour
les identifiants et mots de passe de connexion aux systèmes informatiques.
Si l'organisation dispose de locaux avec accès physique à un environnement informatique (boîtiers de jonction et
salles des machines), cet accès implique souvent la possibilité de contourner la restriction d'accès électronique et donc
la gestion électronique des droits. De tels locaux doivent avoir une restriction physique particulière et prévoir des
portes anti-effraction, des ferme-portes automatiques avec impossibilité de fermeture.
47
alarmes, systèmes de clés sécurisés (inviolables, protégés contre la copie), alarmes, détecteurs de mouvements, détecteurs
sismiques, etc.
L'accès aux documents physiques dans les bureaux, par exemple, peut être restreint par des armoires de sécurité
(coffres-forts) fixées à une partie fixe du bâtiment. La clé/code de l'armoire est gérée selon les mêmes principes que le
contrôle d'accès électronique. Les coffres-forts sont disponibles en différentes « classes » qui définissent leur
résistance à l'effraction - c'est-à-dire la difficulté d'entrer par effraction dans le coffre-fort - et celle-ci doit être adaptée
au temps qu'il peut s'écouler avant qu'une alarme/un gardien puisse interrompre le voleur. son travail.
Les imprimantes sont placées là où seuls les employés ont accès, et en plus de cela, des solutions peuvent être utilisées qui
n'impriment que lorsque le bon utilisateur se trouve sur l'imprimante (également connue sous le nom d'« impression Follow Me »).
La gestion des accès physiques est coordonnée avec d'autres mesures possibles pour empêcher le contournement des restrictions
d'accès physique, telles que des gardes, des portes renforcées, des alarmes anti-intrusion, des détecteurs de mouvement, des
alarmes de défaillance de serrure de porte, des serrures personnelles, etc.
Il s'agit avant tout d'une évaluation des risques selon l'article 32 du RGPD qui doit montrer quelles mesures sont
pertinentes, car les risques et les opportunités dépendent fortement des circonstances spécifiques.
C'est en grande partie une interaction entre les mesures qui crée un niveau de sécurité adéquat. Des mesures telles
que le cryptage des supports de données peuvent réduire considérablement le besoin de sécurité physique au bureau
et à domicile. D’un autre côté, le chiffrement des serveurs peut être compliqué et augmenter le risque d’indisponibilité
et de perte de données. C’est pourquoi la sécurité physique est prioritaire sur le chiffrement des serveurs.
Article 25 du Règlement : Lors du développement ou de l'acquisition de nouveaux systèmes informatiques ou du développement/

par défaut. Les systèmes informatiques, par exemple pour les cartes d'accès, doivent donc également être sélectionnés en fonction
de leur capacité à minimiser l'accès aux données personnelles, par exemple en étant capables de différencier l'accès à la salle des
machines (salle des serveurs), à la barre transversale (connexions réseau), au bureau, espace service client, salle d'impression,
archives de fichiers, réception des marchandises, etc.
Voir également:Conseils sur les accès non autorisés
48
Mesure:
Adaptation des droits d'accès lors du changement de relation

de travail
Lorsqu'il y a des changements d'emploi, de nombreux changements doivent avoir lieu, et certains d'entre eux concernent
directement ou indirectement l'accès du salarié aux données personnelles. Lorsque l'accès aux systèmes informatiques n'est
plus nécessaire, ils doivent être fermés, mais cela peut être oublié en laissant l'accès à l'utilisateur plus longtemps que
nécessaire. Un accès plus large offre une « surface d'attaque » plus grande aux acteurs malveillants : ils disposent, pour ainsi
dire, de plus de briques avec lesquelles construire leurs attaques. Les accès qui ne sont plus nécessaires présentent donc un
risque inutile. En particulier lorsque les employés sont libérés, il peut y avoir un risque d'utilisation abusive des accès si ceux-
ci ne sont pas fermés immédiatement. Il s'agit donc d'unpréventifmesure susceptible de réduireprobabilitéqu'il existe des
droits d'accès inutiles au système informatique qui sont utilisés à mauvais escient.
Un compte utilisateur qui n’est plus utilisé par l’utilisateur légitime est également appelé « compte fantôme ». Même si
l'utilisateur légitime est empêché d'utiliser le compte, par exemple en bloquant le compte dans Active Directory,
l'accès peut toujours être utilisé à mauvais escient. En fermant ces comptes d'utilisateurs, la surface d'attaque est
réduite, car les pirates ne peuvent pas abuser d'un « compte fantôme » pour obtenir des droits d'accès. L'abus de «
comptes fantômes » peut également avoir lieu pendant une période plus longue sans être détecté que dans le cas
d'un abus de comptes encore utilisés par l'utilisateur légitime.
Les procédures ou techniques sont mises en place de telle manière que l'organisation est obligée de réagir en cas de
changement dans les conditions d'emploi, comme l'emploi, la modification des tâches de travail, les congés, la
démission, le licenciement, la maladie de longue durée et le décès. Les changements dans les conditions de travail
peuvent déclencher une notification, par exemple via un système RH. Alternativement, une procédure fixe peut être
établie, ce qui signifie que les droits d'accès inutiles sont supprimés. Le processus doit accorder la même attention à la
suppression des droits existants qu’à la création de nouveaux droits.
Nous veillons à ce que l'employé concerné reçoive l'information sur le changement afin d'éviter les situations
où l'accès reste ouvert après la démission de l'employé.
Certains changements dans les conditions d'emploi exigent qu'un délai soit fixé à l'avance pour le moment où un
signalement doit être « levé » et qu'un processus spécial doit être lancé - cela s'applique, par exemple, si une habilitation de
sécurité expire automatiquement après x ans, avec pour conséquence une absence de autorisation pour accéder à certaines
données spécialement classifiées.
49
Les congés, congés de maternité, congés de maladie, etc. sont des situations où l'accès doit probablement être fermé,
mais comme il y a aussi un besoin de rétention des salariés, la fermeture s'effectue d'une manière différente que dans
le cas des démissions. Par exemple, l'accès des employés à l'intranet peut être maintenu car des informations sur les
activités sociales et des informations sur l'évolution du lieu de travail y sont partagées. De cette façon, l’employé
absent peut toujours avoir le sentiment de faire partie du lieu de travail. Dans le même temps, l'accès des employés
aux systèmes concernés est fermé ou temporairement désactivé.
Grâce à la rotation interne, les tâches peuvent être modifiées progressivement. Dans cette situation, une procédure ou une
automatisation est assurée qui provoque la fermeture des accès lorsqu'ils ne sont plus nécessaires.
Enfin, une procédure spéciale est établie pour les systèmes périphériques/externes qui ne peuvent pas être
fermés via une unité centralisée de gestion des utilisateurs.
Considérer ce qui suitlorsque les droits d'accès doivent être supprimés ou modifiés:
• L'employé doit même fermer l'accès aux systèmes informatiques externes, qu'il serait autrement plus
difficile pour d'autres de fermer après une démission ou un transfert à un autre poste.
• Les salariés disposant de droits administratifs doivent les transférer eux-mêmes à un autre salarié.
• Suppression des données sur PC/smartphone avant livraison et éventuellement réinitialisation ou fourniture d'un
code afin que le matériel puisse être réutilisé.
• Nettoyer les comptes de messagerie, les lecteurs réseau, et surtout dans les endroits auxquels seul cet
employé avait accès, ou nettoyer les données privées afin que le contenu du compte puisse être mis à la
disposition d'autres personnes après la démission.
• Fermeture de l'accès aux systèmes informatiques, aux boîtes aux lettres fonctionnelles et aux systèmes informatiques externes.
• Inclusion de cartes d'identité, porte-clés, clés de portes/boîtes aux lettres/racks/..., jetons d'accès, PC,
smartphone, clés USB, disques durs, documents physiques, etc.
• Modification des codes partagés entre plusieurs utilisateurs (comptes multi-utilisateurs).
• Blocage de l'accès via des porte-clés, des cartes d'accès, des accès physiques/panneaux d'alarme, des cabines/coffres-forts.
• Remplacement/recodage des cylindres de serrure (si la clé n'est pas protégée contre la copie).
• Bloquer l'accès à distance aux systèmes informatiques.
• Blocage des accès avec des certificats et éventuellement les certificats eux-mêmes (MitID Erhverv,
certificats attachés au matériel, ...).
• Résiliation de l'abonnement téléphonique et de l'abonnement internet via l'entreprise. Si l'employé est
autorisé à conserver son téléphone, une attention particulière est portée au fait qu'il n'y a pas de données
d'entreprise sur le téléphone et que la synchronisation des données (généralement les rendez-vous du
calendrier et les e-mails) est interrompue.
• Suppression des données des employés qui ne sont plus nécessaires, par exemple la photo utilisée pour la carte d'identité ou les informations
de l'annuaire téléphonique sur l'intranet.
• Les listes de contacts internes sont mises à jour, et les partenaires externes sont informés des changements
de points de contact (clients, entreprise de sécurité, artisans, ...), notamment si le salarié peut continuer à
utiliser le numéro de téléphone après sa démission.
• Révision de l'organisation d'urgence, de la propriété du système, etc. si l'employé y était couvert.
50
• Déterminer si une dépendance inappropriée à l'égard des individus se produit lorsque les droits d'accès sont
supprimés ou modifiés.
Il découle de l'article 5, paragraphe 1, point f), du RGPD qu'une sécurité suffisante doit être assurée lors du traitement des
données à caractère personnel, y compris une protection contre le traitement non autorisé et illégal. La fermeture de l'accès
réduit la possibilité de traitement non autorisé et illégal, ce qui peut être particulièrement important dans les situations de
licenciement d'un employé. Dans des situations très particulières, une évaluation des risques pourra montrer que la mesure
n'est pas nécessaire si, par exemple, l'accès porte uniquement sur des données personnelles accessibles au public et qu'une
utilisation abusive sous la forme de modification/suppression de ces informations ne peut pas nuire aux personnes
concernées.
51
Mesure:
Gestion du changement
En cas de changements dans les environnements informatiques, les logiciels, l'organisation, les processus et procédures métiers, etc.,
des erreurs peuvent survenir. Des erreurs peuvent également survenir à des endroits d'un environnement informatique qui ne sont
pas directement affectés par un changement donné, car les changements déclenchent des erreurs dérivées dans les systèmes
associés, ou des erreurs peuvent survenir en raison de procédures non adaptées aux changements prévus dans un environnement
informatique.
Une bonne gestion du changement implique que ces changements soient gérés selon des principes établis. Ce
qu'implique réellement la gestion du changement peut varier d'une situation à l'autre : la clé est de disposer de
procédures fixes pour gérer et évaluer les conséquences des changements planifiés avant leur mise en œuvre.
Vous essayez d'anticiper les erreurs à la fois pour les éviter, mais aussi pour avoir un plan pour faire face aux
conséquences si des erreurs surviennent en lien avec le changement. Il s’agit donc d’une mesure à multiples
facettes. La manière dont cela affecte les risques dépend de la partie de la gestion du changement dont vous
parlez.
Des erreurs peuvent par exemple se produire si les mesures existantes ne sont pas assurées lors du
remplacement du serveur, par exemple le maintien d'une restriction d'accès sur un dossier d'un lecteur réseau
déplacé vers un autre serveur.
D'autres erreurs peuvent survenir lors de l'intégration entre les systèmes informatiques et les processus automatisés. Lors du
lancement de transferts de données entre systèmes informatiques, il faut par exemple veiller à ce que le marquage
concernant les noms modifiés/la protection des noms soit inclus, afin que les informations sur les noms protégés ne soient
pas exposées par inadvertance dans un autre système informatique.
Vous trouverez ci-dessous un certain nombre d’exemples où une meilleure gestion du changement aurait pu faire la différence :
• Dans le cadre d'un déménagement dans une commune, une lettre d'inscription est envoyée par l'école aux
deux parents. La diffusion s'effectue automatiquement vers les deux parents, même si l'enfant vit avec l'un
des parents à une adresse résidentielle protégée, mais l'adresse résidentielle n'est pas omise, ce qui permet
de transmettre par inadvertance des informations sur une adresse protégée. En effet, lors du
développement d'un nouveau système informatique, aucune considération suffisante n'a été accordée aux
données personnelles qui sont traitées dans le système informatique et à la manière dont ces informations
peuvent être utilisées dans le nouveau système informatique. L'envoi de lettres a été automatisé sans tenir
compte des circonstances problématiques individuelles liées à la protection de certaines des données
personnelles traitées.
• Les parents non cohabitants ayant une garde partagée ont la possibilité de se connecter à une solution en libre-
service afin que les deux parents puissent accéder aux lettres concernant l'enfant commun. Ce n'est pas
52
a considéré que les informations sur l'adresse protégée, qui figurent sur les lettres, ne sont pas
accessibles à l'autre parent.
• La municipalité dispose d'informations selon lesquelles l'un des parents dispose d'une ordonnance d'interdiction de
rendre visite à l'autre parent et que l'adresse de l'enfant est protégée. Néanmoins, un SMS est envoyé aux deux
parents avec des informations sur l'endroit et le moment où l'enfant commun a rendez-vous dans une clinique
dentaire. L'erreur est due à un échec de mise à jour des données entre les systèmes informatiques.
• Un formulaire de changement d'école permet de saisir un numéro de sécurité sociale, après quoi le système
informatique envoie automatiquement un récépissé avec une adresse aux deux parents. Le système ne
prend pas en compte la protection de l'adresse, c'est pourquoi un parent peut obtenir de manière injustifiée
l'adresse protégée de l'autre parent en saisissant le numéro de sécurité sociale de l'autre parent dans le
formulaire.
• Une école envoie un SMS aux parents biologiques d'un enfant à propos d'un événement scolaire, même si les
parents biologiques ne sont pas autorisés à savoir où se trouve l'enfant. Cela donne aux parents des informations
sur l'école que fréquente l'enfant. Une partie du problème réside dans la lenteur des mises à jour entre les
systèmes informatiques et dans la non-prise en compte des fréquences de mise à jour. Il y a un manque de visibilité
sur quels systèmes reçoivent quelles données et à quelle vitesse.
• Un parent sans autorité parentale reçoit un SMS avec l'adresse de l'école de l'enfant, même si la localisation
de l'enfant est protégée. Cela était dû à une erreur lors de la configuration d'un système informatique, car
une intégration entre les systèmes informatiques avait été réalisée sans les tests nécessaires.
• L'appel en classe (enregistrement des absences) s'effectue sous un nom protégé, car les données
pour l'appel ne proviennent pas d'un des systèmes scolaires où le nom est remplacé par un
pseudonyme, mais proviennent directement du CPR.
• Un mauvais codage dans le système informatique signifie que l'indication de la protection de l'adresse n'est
pas incluse lorsque les dossiers sont envoyés d'une autorité à une autre. Cela entraîne le risque que l'autorité
destinataire transmette par erreur des informations sur une adresse protégée, par exemple lors de la remise
des documents du dossier.
Il est révélé quelles activités de traitement sont affectées par un ou plusieurs changements prévus dans l'environnement
informatique. Il est également découvert si le changement peut affecter des parties de l'environnement ou des processus et
applications associés des systèmes informatiques concernés, qui ne font pas directement l'objet du changement lui-même.
De cette manière, il est possible de déterminer quelles pièces doivent être testées en relation avec les modifications.
Il est garanti que tous les scénarios d'erreur probables sont découverts avant la mise en œuvre du changement, tout comme
les scénarios d'erreur pertinents sont testés dans la mesure nécessaire. Toutes les erreurs détectées sont évaluées en
fonction des risques possibles pour les droits et libertés des personnes concernées et il est évalué - en particulier par le DPD
(s'il a été désigné) - si elles impliquent que la modification doit être reportée jusqu'à ce que l'erreur soit corrigée.
53
Un contrôle est lancé pour voir si les mesures existantes sont maintenues en cas de changement de
système. Entre autres choses les suivantes :
• Des tests sont effectués pour garantir que toutes les mesures de contrôle dans un environnement informatique, qui
ont été établies tout au long de la vie de l'environnement informatique, sont maintenues ou remplacées par
quelque chose d'équivalent après une modification.
• Il est vérifié si une journalisation a lieu dans le système informatique à modifier. Cette journalisation doit être testée
immédiatement après la modification, afin de garantir que la journalisation est toujours effectuée comme prévu et que les
données de journal sont stockées suffisamment longtemps et peuvent être interprétées avec les directives actuelles ou un
système informatique associé. Si cela n’est pas mis en œuvre, un changement de système peut compromettre des mesures
telles quecomme journalisation des utilisations personnelles des utilisateurs donnéesetJournalisation des actions de
l'administrateur utilisateur.
• Il est vérifié si le système informatique à modifier comprend des zones à accès restreint. Si tel est le
cas, des mesures sont mises en œuvre pour garantir que la gestion actuelle des droits soit poursuivie,
interrompue ou adaptée dans la mesure nécessaire, et les restrictions d'accès sont testées
immédiatement après la mise en œuvre des modifications.
• La gestion des droits peut s'effectuer au sein d'un très petit groupe d'employés qui, par exemple, ont
choisi de restreindre l'accès à un dossier sur un lecteur de serveur. Il est important de découvrir et de
prendre en compte une telle gestion décentralisée des droits avant de commencer le changement du
système informatique.
o Si du RPA (Robotic Process Automation) ou similaire est utilisé, il est vérifié que les droits
d'accès de l'utilisateur du robot sont toujours actuels ou s'ils doivent être restreints.
o Si la modification concerne l'accès direct à des bases de données, des magasins de fichiers, etc. en dehors
des applications habituelles avec gestion des droits, il faut s'assurer que la gestion des droits applicable
n'est pas affectée par la modification. Cela peut être négligé, notamment lors du passage du test à la
production. En règle générale, tout au plus l'administrateur et éventuellement le compte de service
peuvent accéder directement à une base de données.
• Dans le cas de l'intégration entre systèmes informatiques, et en particulier lorsque les données sont activement échangées,
les éléments suivants sont découverts :
o si la fréquence de mise à jour est suffisante, si
o suffisamment de données sont transférées,
o si les modifications peuvent avoir un impact sur les exigences légales applicables au traitement des
données, par exemple si les données sont utilisées à des fins non autorisées, conservées plus
longtemps que nécessaire, etc.
• Une attention particulière est portée à la question de savoir si des modifications dans l'intégration peuvent entraîner des
modifications involontaires des droits d'accès, avec le risque, par exemple, que davantage de données soient accessibles
qu'elles ne devraient l'être ou que des données nécessaires à la gestion du traitement d'autres données s'avèrent être
manquant. Il peut s'agir, par exemple, d'une situation dans laquelle une erreur se produit lors d'une connexion de
communication avec une source de données, raison pour laquelle vous passez rapidement à une autre source de données.
Cependant, la source alternative contient des données obsolètes, ce qui signifie que des données obsolètes sont utilisées
dans les processus automatisés.
54
Il découle de l'article 32, paragraphe 1, point b), du RGPD que les mesures pertinentes visant à garantir un niveau de
sécurité adapté aux risques évalués peuvent inclure la capacité à garantir le maintien de la confidentialité, de l'intégrité,
de la disponibilité et de la robustesse des systèmes et services de traitement.
La gestion du changement est toujours pertinente pour les changements dans l'environnement informatique, les logiciels,
l'organisation, les processus métier, etc. - même si le développement n'a pas lieu en interne. Dans le cas d'une informatique
externalisée, les exigences en matière de gestion du changement peuvent avantageusement être incluses dans les contrats
informatiques et les accords de traitement des données. La gestion du changement peut également être pertinente pour les
changements de procédures et d’organisation.
Voici quelques exemples de scénarios où la gestion du changement doit être maîtrisée :
• Si l'organisation – éventuellement en collaboration avec un sous-traitant – apporte des modifications aux systèmes informatiques,
aux procédures de travail, etc., alors l'article 32, paragraphe 1, point b) du RGPD, est pertinent, tout comme toute modification des
systèmes informatiques, des procédures de travail, etc. . peut introduire des erreurs qui affectent la confidentialité, l'intégrité, la
disponibilité ou la robustesse.
• Changer un système informatique peut introduire des erreurs si les procédures de travail ne correspondent plus
au système informatique. A l’inverse, les changements de procédures doivent s’effectuer en comprenant le
fonctionnement du système informatique, afin qu’il n’introduise pas d’erreurs.
• Les changements dans l'organisation peuvent également introduire des erreurs si de nouveaux employés sont affectés à
un travail pour lequel ils n'ont pas été correctement formés au préalable, ou qui est éloigné du domaine d'intervention
habituel de l'employé - par exemple si un pédagogue est chargé de la gestion de cas dans un service informatique.
système, qui n'est pas intuitif, pour lequel l'employé n'est pas formé ou qui n'est pas protégé contre les erreurs des
utilisateurs.
Ce qui précède montre que le développement/changement des systèmes informatiques, des procédures et de l'organisation doit se
faire en mettant l'accent sur la sécurité des traitements, et que le système informatique, les procédures et l'organisation doivent
s'articuler. L'article 25 du RGPD vise à garantir que la protection des données soit prise en compte dans la conception, et non
seulement dans la conception des systèmes informatiques, mais également dans celle de l'organisation et dans les processus/
procédures de travail de l'organisation.
55

Catalogue of Security

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Catalogue of Security

Transféré par

Droits d'auteur :

Formats disponibles

Traduit de Anglais vers Français - www.onlinedoctranslator.

Catalogue des mesures de sécurité

Vous trouverez ici un catalogue de mesures de sécurité techniques et organisationnelles

À propos du catalogue .................................................. .................................................................. ...................................... 4

Qu'est-ce qu'une mesure ?................................................. .................................................................. ...................................................... 4

Droits d’accès selon les besoins ............................................ .................................................................. .................................. 6

Conscience ................................................. .................................................................. .................................................................. ..... 8

Fermeture automatique des accès inactifs .................................................. .................................................................. ....... 11

Sauvegarde ................................................. .................................................................. .................................................................. ......... 12

Gestion centralisée des droits .................................................. .................................................................. ............... 15

Accès aux données selon les besoins............................................ .................................................................. .................................. 17

Documentation des autorisations ............................................................ .................................................................. .............. 19

Authentification multifacteur (MFA) .................................................. .................................................................. ............... 21

Séparation des fonctions ............................................................ .................................................................. ...................................... 24

Gestion des comptes utilisateurs temporaires .................................................. .................................................................. .26

Évitez l’utilisation inutile de comptes multi-utilisateurs ............................................ .................................................. 27

Journalisation des actions de l'administrateur utilisateur ............................................ .................................................................. ........ 34

Minimiser le nombre d'agents d'autorisation et d'administrateurs d'utilisateurs.................................................. 35

Minimiser les droits d’accès privilégiés.................................................. .................................................................. .............. 36

Contrôle périodique de l'actualité des droits d'accès ............................................ ...................................... 38

Pseudonymisation et anonymisation.................................................................. .................................................................. ...... 40

Contrôle des accès physiques............................................................ .................................................................. ...................... 47

Gestion du changement ................................................ .................................................................. .................................. 52

Le catalogue est un ensemble de descriptions de mesures techniques et organisationnelles qu'il peut

nouveaux systèmes informatiques ou du développement/modification de systèmes informatiques existants.

Qu'est-ce qu'une mesure ?

Droits d'accès selon vos besoins

QUELS RISQUES SONT TRAITÉS ?

QUELLES MESURES PEUVENT ÊTRE ENVISAGÉES ?

informatiques qui contrôlent l’accès.

QUELS RISQUES SONT TRAITÉS ?

QUELLES MESURES PEUVENT ÊTRE ENVISAGÉES ?

utilisateurs à résoudre des tâches), et

développement de systèmes informatiques.

• Orientation sur les conséquences de la violation des règles/législations sur la confidentialité et de

des transferts de devises.

QUAND LA MESURE EST-ELLE NÉCESSAIRE ?

Fermeture automatique des accès inactifs

QUELS RISQUES SONT TRAITÉS ?

QUELLES MESURES PEUVENT ÊTRE ENVISAGÉES ?

QUAND LA MESURE EST-ELLE NÉCESSAIRE ?

QUELS RISQUES SONT TRAITÉS ?

QUAND LA MESURE EST-ELLE NÉCESSAIRE ?

Gestion centralisée des droits

QUELS RISQUES SONT TRAITÉS ?

QUELLES MESURES PEUVENT ÊTRE ENVISAGÉES ?

QUAND LA MESURE EST-ELLE NÉCESSAIRE ?

Article 25 RGPD : Lors du développement ou de l'acquisition de nouveaux systèmes informatiques ou du développement/modification de

Accès aux données selon les besoins

QUELS RISQUES SONT TRAITÉS ?

QUELLES MESURES PEUVENT ÊTRE ENVISAGÉES ?

Article 25 RGPD : Lors du développement ou de l'acquisition de nouveaux systèmes informatiques ou du développement/modification de

Documentation des autorisations

QUELS RISQUES SONT TRAITÉS ?

QUELLES MESURES PEUVENT ÊTRE ENVISAGÉES ?

QUAND LA MESURE EST-ELLE NÉCESSAIRE ?

Authentification multifacteur (MFA)

QUELS RISQUES SONT TRAITÉS ?

QUELLES MESURES PEUVENT ÊTRE ENVISAGÉES ?

gestion des mots de passe.

QUAND LA MESURE EST-ELLE NÉCESSAIRE ?

Séparation des fonctions

QUELS RISQUES SONT TRAITÉS ?