Sécurité des bases de données : appliquer des contrôles d’audit et de surveillance

Avec la mise en application du Règlement Général sur la Protection des Données ou RGPD, les entités qui ont à recueillir et à traiter les données, sont soumises à des exigences précises. Ces dernières auront tout naturellement un but : la sécurité des bases de données. Pour ce, plusieurs points sont soulevés et des dispositifs mis en place, si ce n’est que pour citer le DPO et l’audit. Si la première concerne la nomination d’un professionnel chargé de veiller à la bonne application de la loi, l’audit, est lui, un outil qui permettra de vérifier le respect de la règlementation. Aussi important l’un que l’autre, chacun a ses spécificités. Pour ce qui est de l’audit en particulier, quelques éléments sont à retenir.

Qu’est-ce que l’audit ?

L’audit est une action par laquelle une institution agréée procède à la vérification des opérations (en rapport avec les informations personnelles) d’une entreprise. En d’autres termes, les contrôles d’audit servent à établir si oui ou non, une société respecte les règles liées à la sécurité des bases de données. A cet effet :

  • La question de l’accès aux données sera abordée : l’auditeur s’assurera que seules les personnes habilitées peuvent se servir des informations collectées ;
  • Les informations relatives à la progression de l’audit seront transmises au fur et à mesure où il avance ;
  • L’audit se posera sur des points techniques et juridiques ;
  • Une procédure sera établie et suivie afin de baliser les opérations à entreprendre lors de l’audit ;
  • L’utilisation d’outils comme des questionnaires pourra être prescrit ;
  • Les documents consultés lors de l’audit le seront seulement au sein de l’établissement audité.

A quoi sert l’audit ?

Les contrôles d’audit sont réalisés à titre préventif. En effet, à la fin des opérations, des conclusions seront fournies par l’auditeur pour permettre à l’audité de procéder aux rectifications demandées par la réglementation sur la sécurité des bases de données. Le rapport fera alors état des lacunes et des manquements ainsi que des moyens pour y remédier. En mettant en application les recommandations découlant de l’audit, l’entreprise  pourra corriger plus facilement les failles ; toujours dans le but d’accroître la protection des données, ce qui permettra d’éviter les sanctions liées aux éventuelles transgressions (volontaires ou non).

Qui peut effectuer un audit ?

La protection des données personnelles étant le but de l’audit, sa réalisation doit être assurée par les personnes qualifiées :

  • avec une expérience professionnelle supérieure ou égale à 5 ans ;
  • formées ;
  • au fait de toutes les évolutions au niveau des textes de loi ; actuellement, avec le Règlement Général sur la Protection des Données ;
  • avec au moins, 20 jours d’expérience d’audit ;
  • répondant à tous les critères mis en place par le cadre légal.
Tracer les accès et gérer les incidents

En sécurité informatique, l’un des principes de base est de tracer l’accès à un système d’information. Le but étant de limiter le champ d’investigation si un incident est arrivé. De la sorte sa gestion devient plus facile les responsables de la sécurité peuvent prendre les mesures adéquates pour limiter au maximum son impact. Le traçage se réalise via des outils informatiques qui effectuent la journalisation de l’accès.

Sécuriser les serveurs

La sécurité des serveurs est un volet primordial pour une entreprise. Pour ce faire, on doit d’une part garantir la sécurité physique en les mettant dans un local fermé où seul les responsables de la sécurité informatique ont le droit d’y accéder. D’autre part la sécurité logique via un mécanisme essentiel qui est l’authentification en plus de l’installation d’outils de protection des données à l’instar des antivirus, des IDS, des firewalls…

Sécuriser les sites web

Aujourd’hui plusieurs attaques informatiques visent à saboter les sites web des entreprises. Pour parer à ses attaques, la mise à jour régulière des serveurs web hébergeant le site. Qui plus est, il faut un bon hébergeur pour votre site car tous les hébergeurs ne se valent pas en matière de sécurité informatique. Autre conseils importants, l’accès aux interfaces d’administration du site doit être offert uniquement aux personnes autorisées via des mots de passe difficiles à deviner.

Plan du site