DSI : quelle organisation pour assurer la sécurité de ses données ?

Renforcer l’authentification des utilisateurs

Première mesure à mettre en œuvre : attribuer un identifiant unique à chaque utilisateur ayant accès au système d’information. Par conséquent, les comptes partagés sont à bannir, à moins qu’ils ne soient inévitables. Dans ce cas, des mesures de contrôle et de traçabilité doivent être mises en place.

Les mots de passe, qui constituent souvent la base de toute authentification, doivent également avoir un niveau de complexité suffisant.

• Si une restriction de l’accès au compte est prévue (par exemple, un « Captcha » ou un verrouillage du compte après plusieurs échecs), le mot de passe doit posséder au moins 8 caractères comportant 3 des 4 types de caractères suivants : majuscules, minuscules, chiffres, caractères spéciaux.
• Si le mot de passe est le seul moyen d’authentification, il doit être composé de 12 caractères au minimum, comportant à la fois des minuscules, des majuscules, des chiffres et des caractères spéciaux.

Définir plusieurs niveaux d’habilitation

Il est essentiel que chaque utilisateur puisse accéder uniquement aux informations dont il a besoin pour accomplir ses missions. D’où l’intérêt de définir des profils d’habilitation, en fonction du poste et du niveau de responsabilité de chacun.

Par ailleurs, il est recommandé de contrôler régulièrement ces habilitations pour s’assurer qu’elles sont toujours en adéquation avec les fonctions de chaque utilisateur. Les permissions d’accès doivent être supprimées dès lors qu’un collaborateur quitte l’entreprise ou n’est plus habilité à accéder à certaines ressources informatiques.

Améliorer la sécurité des outils informatiques

La protection des données à caractère personnel passe également par les outils utilisés quotidiennement par les collaborateurs de la compagnie d’assurance.

En premier lieu, il est indispensable de sécuriser les postes de travail en prévoyant différentes mesures :

• L’installation d’un pare-feu pour limiter l’ouverture des ports de communication de l’ordinateur.
• L’utilisation et la mise à jour régulière d’un logiciel antivirus.
• La mise à jour systématique (et de préférence automatique) des applications installées sur le poste de travail.
• Le verrouillage automatique de l’ordinateur en cas d’inactivité.

Quant aux dispositifs mobiles, qui sont de plus en plus utilisés dans le cadre professionnel, ils présentent un risque informatique non négligeable. Outre la nécessité de sensibiliser les utilisateurs, il convient de sécuriser les postes nomades (ordinateurs portables, tablettes, etc.) avec des mécanismes de synchronisation et de sauvegarde des données, afin d’éviter toute perte.

Ces appareils mobiles, ainsi que les supports de stockage comme les clés USB ou les disques durs externes, doivent aussi être chiffrés de bout en bout pour garantir leur sécurité.

Protéger les serveurs et les sites web

Les serveurs de la compagnie d’assurance sont des ressources particulièrement sensibles : il convient donc de limiter l’accès aux interfaces d’administration (notamment en créant des niveaux d’habilitation, comme évoqué précédemment).

De plus, les administrateurs doivent faire l’objet d’une politique de mots de passe spécifique. Cela implique une modification régulière des identifiants, surtout si une compromission potentielle a été détectée ou en cas de départ d’un administrateur. 

Concernant les bases de données, il est recommandé d’utiliser des comptes nominatifs et spécifiques à chaque application, tout en prévoyant une politique de sécurité informatique contre les attaques par injection de scripts ou de code SQL.

Les sites internet exigent également la plus grande vigilance en matière de protection des données personnelles. L’utilisation du protocole sécurisé TLS doit être systématisée, notamment sur les pages les plus sensibles : formulaires permettant de collecter des informations, portails d’identification, etc.

Enfin, si des cookies sont nécessaires au bon fonctionnement d’un site, ces derniers doivent faire l’objet d’un consentement préalable de la part de l’internaute, dans le respect du Règlement général sur la protection des données (RGPD).

Sauvegarder et archiver les données

Sécuriser les données de l’entreprise, c’est aussi les sauvegarder régulièrement, que ce soit au format papier ou électronique. Il est recommandé d’effectuer quotidiennement des sauvegardes incrémentales, mais aussi des sauvegardes intégrales de temps à autre.

Une fois sauvegardées, les données doivent idéalement être chiffrées et stockées dans un espace sécurisé, afin de recevoir le même niveau de protection que la data stockée sur les serveurs d’exploitation de la compagnie d’assurance. En cas de transmission des données via un canal externe, celui-ci doit être entièrement chiffré.

La gestion des archives doit également faire l’objet d’une attention particulière, avec la mise en place de modalités d’accès spécifiques. Enfin, un mode opératoire encadrant la destruction de ces archives doit être prévu.

Encadrer les sous-traitants

Dans le cadre de son activité, une compagnie d’assurance est susceptible de transmettre un certain nombre de données à des sous-traitants. Ces derniers doivent présenter des garanties suffisantes en matière de fiabilité, de protection des données à caractère personnel, mais aussi de sécurité des systèmes d’information.

Plus précisément, les garanties offertes par un sous-traitant peuvent prendre différentes formes :

• Le chiffrement des données en fonction de leur sensibilité.
• Des procédures garantissant que le prestataire ne peut pas accéder aux informations qui lui sont fournies.
• Le chiffrement des transmissions de données.
• Des mesures de protection du réseau, de gestion des habilitations et des authentifications, ou encore de traçabilité.

Enfin, les modalités du traitement des données, mais aussi leur durée et leur finalité, doivent être précisément définies par un contrat avec les différents sous-traitants. 

En suivant ces recommandations, le DSI peut mettre en œuvre toutes les mesures nécessaires pour sécuriser les données à caractère personnel de sa compagnie d’assurance.