• GUIDE : LE RGPD EXPLIQUÉ
  • LE BLOG
  • CONTACT
www.audit-dpo.com
  • Accueil
  • Audit à blanc RGPD
  • Respecter le RGPD
  • Pourquoi s’inscrire ?
  • Demander un audit
Etat des lieux de la « sécurisation des postes de travail (verrouillage automatique, anti-virus) ; » dans le cadre du RGPD

Accueil » Etat des lieux de la « sécurisation des postes de travail (verrouillage automatique, anti-virus) ; » dans le cadre du RGPD

Etat des lieux de la « sécurisation des postes de travail (verrouillage automatique, anti-virus) ; » dans le cadre du RGPD

par Audit Pia | 5/Juil/2020 | Actu, Etats des lieux |

Les postes informatiques constituent un point d’entrée majeur des attaques informatiques que subissent les organisations. Dans ce cadre, le RGPD (Règlement Général sur la Protection des Données) impose de mettre en œuvre une sécurisation des postes de travail aboutie, prenant en compte le risque d’intrusion et de compromission. En effet, Internet étant omniprésent, les données sensibles et les données à caractère personnel sont régulièrement la cible d’accès frauduleux et tout doit être fait pour éviter la prise de contrôle à distance ou la diffusion d’un virus. Alors comment les entreprises peuvent-elles se protéger face à ce risque ? Zoom sur les bonnes et les mauvaises pratiques dans ce domaine.

Sécuriser les postes de travail : les bons réflexes

Chaque utilisateur doit être conscient que son poste de travail est une voie d’accès aux données du système informatique. Le responsable du traitement devra mettre en place les mesures techniques et organisationnelles pour réduire ce risque au maximum. Entre autres, il pourra :

  • Installer un logiciel « pare-feu » (ou « firewall ») en s’assurant que les ports de communication ouverts sur le poste de travail soient limités à ceux strictement utiles au bon fonctionnement des applications.
  • Munir les postes informatiques d’un antivirus efficace. Ce dernier devra être mis à jour lorsque nécessaire, au même titre d’ailleurs que les autres logiciels via une politique de mise à jour documentée. Pour réduire le facteur humain, les mises à jour des logiciels devront être programmées pour se déclencher automatiquement.
  • Doter les postes informatiques d’un système de verrouillage automatique de session. Lors des non-utilisations prolongées, l’accès sera de nouveau subordonné au renseignement d’un mot de passe.
  • Encourager le stockage des données sur un serveur synchronisé accessible depuis le réseau. Ce serveur évitera les sauvegardes sur le bureau du poste informatique.
  • Décourager l’emploi de supports mobiles tels les clés USB ou les disques durs externes. Ils sont souvent vecteurs de virus. Dans tous les cas, on désactivera la fonction d’exécution automatique (« autorun ») pour les supports mobiles.
  • Réaliser une veille de sécurité des logiciels et matériels appartenant au système informatique de l’organisation grâce au CERT-FR (centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques).
  • Mener une politique pertinente de mise à jour des mots de passe.

Sécurisation des postes de travail : les pièges à éviter

Pour garantir des postes de travail sécurisés, on prendra garde à ne pas tomber dans certains écueils :

  • Travailler avec des systèmes d’exploitation obsolètes.
  • Attribuer des droits administrateurs à des personnes n’ayant pas les compétences en sécurité informatique.
  • Autoriser le téléchargement d’applications sans autorisation de l’administrateur.
  • Ne pas formater les données d’un poste de travail lors de sa réaffectation à un tiers.
  • Limiter la recherche des sources de compromission ou d’intrusion dans un poste informatique au seul poste en lui-même. C’est à travers le système informatique global qu’il conviendra d’effectuer les investigations.
  • Omettre de subordonner la prise en main à distance des postes de travail à la validation par l’utilisateur. Ce dernier devra être en mesure de constater le commencement, l’exécution et la fin de l’assistance à distance.
  • Oublier de mettre à jour les applications et logiciels lors de la découverte et la correction de failles critiques.
  • Négliger la formation et l’information des utilisateurs, notamment sur la conduite à tenir en cas d’incident lié à la sécurité informatique. Ils doivent être pleinement conscients que les emails sont les principaux vecteurs d’attaques informatiques et que leur poste de travail doit être verrouillé manuellement en cas d’absence même brève pour prévenir les accès illégitimes (couplage avec le verrouillage automatique).

Ainsi, les postes de travail sont des cibles privilégiées pour les cyberattaques. La mise en œuvre de mesures préventives recommandées par la CNIL permet d’assurer un niveau de risque acceptable pour les organisations. Les contraintes qui pèsent sur les sociétés sont lourdes en termes de sécurité informatique et il n’est pas toujours évident de constituer un système de management de la sécurité informatique qui garantisse la protection des données. Le responsable de traitement peut s’appuyer sur des conseils externes. Complétez notre formulaire pour des informations supplémentaires.

  • LinkedIn
  • Twitter
  • Google+
  • Facebook

Demander une étude personnalisée

Vous souhaitez une mise en conformité de votre entreprise au RGPD applicable le 25 mai 2018 ?
  • Usages des données / finalités de traitements : les données collectées seront utilisées pour vous envoyer un e-mail à l'ouverture du service ou pour la création d'un devis dans le cadre d'une demande de prestation.
  • Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Catégories

  • Actu
  • DPO
  • Etats des lieux
  • La protection des données
  • Le RGPD
  • Le RGPD article par article
  • tweets du jour

Articles récents

  • Checklist des éléments à vérifier en 2021 pour l’audit de sa compliance RGPD
  • Article 100 – Les obligations des contractants définies
  • Etat des lieux de la mise en place un PCA et PRA dans le cadre du RGPD
  • Article 97 – Rapports de la commission
  • Etat des lieux de la gestion de la sous-traitance dans le cadre du RGPD
2018 © Audit-Pia.com | Tous droits réservés |Plan du site | Données personnelles
Posting....
Share This
  • LinkedIn
  • Twitter
  • Google+
  • Facebook