CCIN : SÉCURITÉ DES DONNÉES, SYSTÈMES ET RÉSEAUX
CCIN : la sécurité des données, principale obligation légale
La loi 1.165 du 23 décembre 1993, modifiée, souligne l’importance vitale de la protection et à la sécurité des données personnelles comme le stipule l’Article 17 :
« Le responsable du traitement ou son représentant est tenu de prévoir des mesures techniques et d’organisation appropriées pour protéger les informations nominatives contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé, notamment lorsque le traitement comporte des transmissions d’informations dans un réseau, ainsi que contre toute autre forme de traitement illicite. »
Étude de cas : sécurisation données sensibles / santé à Monaco
Développement, mise en conformité et sécurisation de données sensibles de santé à Monaco
Un centre d’excellence en otoneurologie souhaitait accélérer sa transformation digitale tout en assurant la sécurité de ses données sensibles et données de santé à Monaco. Baccana a répondu aux attentes et au-delà.
Cybersécurité des données : des conséquences lourdes en cas d’incident
Au regard des nombreux incidents récents (hacking, collecte illégale et publication d’informations nominatives) concernant parfois des dizaines de millions de personnes, le sujet de la sécurisation des informations nominatives est d’autant plus sensible auprès du grand public.
Par exemple, voici quelques incidents récents qui démontrent la nécessité absolue d’une sécurisation des données maximale pour se protéger de retombées légales et de dommages irréversibles en termes de réputation :
Sécurité des données à Monaco : un enjeu national
Les incidents gravissimes de ce type sont légion et personne n’est épargné. Comme l’a démontré le piratage d’un yacht entre Monaco et l’île de Rhodes, cela concerne aussi bien entendu la Principauté de Monaco qui se veut pionnière en la matière.
Ainsi, depuis plus de 20 ans se tiennent à Monaco les Assises de la Sécurité qui rassemblent chaque année plus de 3 000 participants pour comprendre et maîtriser les nombreux enjeux de la cybersécurité en Principauté et dans le monde.
Comme noté par nombre de spécialistes de la cybersécurité, les cyberattaques soulèvent la responsabilité des organismes privés ou publics dont sont victimes les utilisateurs, clients et prospects, et peuvent avoir de lourdes conséquences, jusqu’à la fermeture pure et simple d’une entreprise.
Bien entendu, le degré de sécurisation exigé par la loi monégasque dépend en outre de la nature des données personnelles.
Ainsi, la loi 1.165 en vigueur prévoit des dispositions spécifiques et très contraignantes concernant les données personnelles liées à la santé, au secret professionnel et au secret défense.
Sécurisation des données, systèmes et réseaux : les 12 travaux d’Hercule de la CCIN
Selon la loi monégasque, « les mesures mises en œuvre doivent assurer un niveau de sécurité adéquat au regard des risques présentés par le traitement et de la nature des données à protéger».
Ces mesures sont détaillées par la CCIN dans un document nommé par cette dernière et non sans humour « les 12 travaux d’Hercule » afin de souligner la lourdeur et la complexité de leur mise en œuvre pour toute entreprise, personne ou organisme dont ce n’est pas le métier.
Les mesures non exhaustives de sécurisation des données préconisées par la CCIN sont les suivantes :
1. Cartographie générale du système et des procédures d’accès
Cartographier la sécurité du système informatique, inventorier les comptes d’accès privilégiés, mettre en place des procédures de sécurité pour les personnels entrants et sortants, et maintenir à jour toutes ses dispositions.
2. Maîtrise des accès aux réseaux publics
Limiter et contrôler les accès aux réseaux non sécurisés tels qu’internet et les réseaux Wifi publics, en particulier pour les équipements nomades (téléphones, tablettes, ordinateurs portables) et dans les lieux publics et transports.
3. Authentification des utilisateurs
Instaurer des politiques d’authentification strictes et sécurisées, particulièrement en termes de gestion des comptes utilisateurs et des mots de passe, et répertorier ces procédures.
4. Sécurisation des équipements
Mettre en œuvre une gestion de déploiement centralisée pour mettre à jour tous les équipements connectés, sécuriser tous les équipements nomades par VPN (Virtual Private Network) et les supports de données par encryptage (Clés USB, disques durs portables, DVD…).
5. Sécurisation du réseau interne
Systématisation d’applications et protocoles sécurisés (authentification à deux facteurs (2FA), biométrie, Pare feu, VPN, WIFI cloisonné, SSH, SFTP, SMTPS, HTTPS, AD, LDAP….) et isoler les postes / serveurs contenant des données sensibles ou vitales pour l’entreprise.
6. Sécurisation des accès à Internet
Mise en place de passerelles sécurisées avec Internet, notamment de VPN, maîtrise de l’installation de logiciels sur les équipements et blocage des sites plus particulièrement sensibles aux tentatives de piratage et de phishing.
7. Surveillance des systèmes informatiques
Mise en œuvre de politiques de veille informatique sur tous les systèmes et réseaux (e-mail inclus), procédures d’alertes en cas d’incident, journalisation des événements et de leurs réponses.
8. Sécurisation de l’administration des réseaux
Ségrégation des comptes administrateurs des réseaux publics non protégés, accès à distance hautement sécurisé.
9. Mesures de sécurisation physique
Contrôle de l’accès aux équipements physiques et à leurs locaux : sécurisation par mise sous clé, badge, biométrie….
10. Sécurisation des périphériques et des supports imprimés
Sécurisation des accès aux imprimantes (présence physique obligatoire, mots de passe), protection des supports de stockage et des imprimés, destruction par broyage si nécessaire.
11. Procédures de réponse aux incidents
Mise en place de plans de blocage, de sauvegarde (backups) et de restauration des systèmes, chaines d’alertes et de plans d’actions en cas de nécessité.
12. Diffusion des bonnes pratiques de sécurité des données
Création de chartes de sécurité, formations à la protection des données, recueil de l’adhésion aux politiques de sécurité de toutes les personnes concernées, audits périodiques des connaissances, protocoles et usages.
Sécurité + Conformité CCIN / RGPD : CONSULTATION GRATUITE
Consultation Gratuite : Sécurité et Conformité à Monaco
Protégez vos données et celles de vos clients et utilisateurs ! Baccana Digital Consulting vous aide à mettre votre site et votre entreprise en sécurité et en conformité !
Contactez-nous dès aujourd’hui pour une consultation gratuite (30 mins) avec nos experts en conformité et sécurité CCIN / RGPD à Monaco.