🔐 ProtĂ©ger les grandes bases de donnĂ©es : les recommandations clĂ©s de la CNIL

🔐 ProtĂ©ger les grandes bases de donnĂ©es : les recommandations clĂ©s de la CNIL

Pour répondre à la recrudescence des attaques visant les grandes bases de données, la CNIL a récemment publié ses consignes pour renforcer leur sécurité.

Notes
Dans son article, la CNIL cible principalement les grandes bases de données (celles qui détiennent des millions de données), comme elles présentent un risque plus élevé en cas de violation. Pour autant cela ne veut pas dire que les autres bases de données sont exemptées de mesures de sécurité. Ces bonnes pratiques sont applicables à toutes les bases de données contenant des donnée personnelles, quelle que soit leur taille.

📌 Ce qu’il faut retenir :
Les grandes bases de données doivent bénéficier de mesures de sécurité renforcées. La CNIL recommande en particulier :

1ïžâƒŁ Authentification forte obligatoire
Fini les simples mots de passe !
🔒 L’accĂšs aux bases contenant de grandes quantitĂ©s de donnĂ©es sensibles doit ĂȘtre protĂ©gĂ© par une authentification multifacteur, en particulier pour les accĂšs Ă  distance.


2ïžâƒŁ Suivi et limitation des extractions
📊 Mettez en place un systĂšme de journalisation pour suivre les accĂšs et transferts : qui consulte quoi, quand et depuis oĂč ?
đŸš« Limitez les exports massifs et dĂ©clenchez des alertes en cas de comportements inhabituels.

Info

Une procédure de gestion des habilitations est disponible dans les ressources juridiques de Mission RGPD. Elle permet de formaliser la cartographie des habilitations.


3ïžâƒŁ Encadrement des prestataires
đŸ§Ÿ Lorsque des sous-traitants accĂšdent Ă  vos bases, assurez-vous de contractualiser des exigences de sĂ©curitĂ© (audits rĂ©guliers, transmission d'une politique de sĂ©curitĂ©, vĂ©rification des certifications).
⚠ Un prestataire peu sĂ©curisĂ© peut devenir votre maillon faible.
Info

Dans l'application "EcosystÚme", créez vos prestataires/logiciels et complétez les champs demandés. Si vous ne disposez pas de certaines informations, demandez les à vos prestataires.


4ïžâƒŁ Sensibilisation des Ă©quipes
đŸ‘šâ€đŸ’» Il est indispensable de former rĂ©guliĂšrement vos collaborateurs aux risques (phishing, fuites de donnĂ©es, erreurs humaines).
📱 Rappelez-leur Ă©galement que l’utilisation de comptes partagĂ©s doit ĂȘtre proscrite.
Info

Mission RGPD propose des formations sur divers sujets (enjeux de cybersĂ©curitĂ©, bonnes pratiques pour l’utilisation de l’IA gĂ©nĂ©rative, etc.). N’hĂ©sitez pas Ă  les partager avec vos collaborateurs.


⚠ Pourquoi c’est urgent ?
80 % des fuites de donnĂ©es en 2024 Ă©taient liĂ©es Ă  des failles d’accĂšs ou Ă  des comptes mal sĂ©curisĂ©s.
En cas de manquement, la CNIL peut infliger des amendes pouvant atteindre 2 % du chiffre d’affaires mondial.

Pour en savoir plus...


Tom Pujade-Lauraine

Juriste protection des données personnelles - Mission RGPD