Guide de la sécurité des données personnelles : suivi des modifications entre les différentes versions
La CNIL publie depuis plusieurs années un guide pour accompagner les organismes dans leur mise en conformité avec l’obligation de sécurité informatique posée par le RGPD. Afin de suivre les évolutions successives des recommandations de la CNIL en la matière, le guide est accompagné d’un journal des modifications.
Le guide de la sécurité des données personnelles de la CNIL décrit les mesures de sécurité recommandées pour se mettre en conformité avec l’article 32 du RGPD. Il regroupe des pratiques à l’état de l’art en matière de sécurité des données ainsi que des éléments de doctrine de la CNIL sur le sujet. Ce guide est un outil vivant qui est enrichi au fil des années en fonction des évolutions de ces deux sources.
Pour que les acteurs suivent les changements du guide entre ses différentes versions, la CNIL propose, depuis l’édition 2024, un journal des modifications. L’objectif est d’aider les acteurs à identifier les évolutions qui doivent être apportées aux mesures en place au sein de leur organisme.
Vous pouvez retrouver ci-dessous tous les changements, organisés par fiche, qui ont été apportés au guide d’une édition à une autre.
Édition de mars 2024
Comparaison avec l’édition d’avril 2023
Général
- Découpage du guide en 5 parties + Réorganisation des fiches en fonctio
- Ajout de 5 nouvelles fiches :
- Fiche n°1 – Piloter la sécurité des données
- Fiche n°22 – Cloud : Informatique en nuage
- Fiche n°23 – Applications mobiles : Conception et développement
- Fiche n°24 – Intelligence artificielle : Conception et apprentissage
- Fiche n°25 – API : Interfaces de programmation applicative
- Création d'une nouvelle fiche (n°20 – Analyse de risques) à partir du contenu présent précédemment en avant-propos
- Découpage en 2 fiches de celles qui traitaient 2 sujets à la fois et étoffement de leur contenu :
- Ancienne Fiche n°1 – Sensibiliser les utilisateurs ► Fiche n°2 – Définir un cadre pour les utilisateurs / Fiche n°3 – Impliquer et former les utilisateurs
- Ancienne Fiche n°4 – Tracer les opérations et gérer les incidents ► Fiche n°16 – Tracer les opérations / Fiche n°19 – Gérer les incidents et les violations
- Ancienne Fiche n°10 – Sauvegarder et prévoir la continuité d’activité ► Fiche n°17 – Sauvegarder / Fiche n°18 – Prévoir la continuité et la reprise d’activité
- Ajout d’un préambule avant le sommaire
- Étoffement de l’avant-propos
- Ajustement de l’autoévaluation au nouveau contenu du guide
Fiche n°1
Entièrement nouvelle
Fiche n°2
Ancienne fiche n°1
- Modification : Titre de la fiche
- Ajout : Introduction
Ce qu’il ne faut pas faire
Entièrement nouveau
Pour aller plus loin
- Ajout : Charte pour les administrateurs
Fiche n°3
Ancienne fiche n°1
- Modification : Titre de la fiche
- Ajout : Introduction
Les précautions élémentaires
- Ajout : Détail des exemples de type de sensibilisation
- Ajout : Adaptation des campagnes de sensibilisation aux destinataires
- Ajout : Évaluation de l’assimilation des bonnes pratiques
- Ajout : Formation des personnels en charge des outils informatiques
- Déplacement depuis Pour aller plus loin + Étoffement : Séances de formation et sensibilisation
Ce qu’il ne faut pas faire
Entièrement nouveau
Pour aller plus loin
- Ajout : Exercices de simulation
Fiche n°4
Ancienne fiche n°2
- Modification : « Authentification forte » remplacée par « authentification robuste »
Les précautions élémentaires
- Clarification : Stockage des mots de passe
- Simplification : Les moyens mnémotechniques
- Simplification : Les gestionnaires de mots de passe
- Ajout : Communication sur les pratiques interdites en matière de mots de passe
Ce qu’il ne faut pas faire
- Suppression : Éléments qui s’adressaient à un utilisateur
- Clarification : Stockage des mots de passe
- Ajout : Restriction des fonctionnalités des gestionnaires de mots de passe dans les formulaires
Pour aller plus loin
- Ajout : Authentification multifacteur pour les connexions depuis l’extérieur du réseau de l’organisme
- Ajout : Entropie des mots de passe plus élevée pour les administrateurs
- Déplacement depuis Les précautions élémentaires : Outil de la CNIL pour vérifier sa politique de mots de passe
Fiche n°5
Ancienne fiche n°3
- Ajout : Introduction
Les précautions élémentaires
- Ajout : Implication des métiers dans la revue des habilitations
Ce qu’il ne faut pas faire
- Modification : Précisions sur les comptes partagés
Fiche n°6
Ancienne fiche n°5
Les précautions élémentaires
- Modification : Mises à jour de sécurité (déploiement sans délai mais après test plutôt qu’automatique)
Pour aller plus loin
- Ajout : Environnement dédié aux opérations comportant un risque particulier
- Ajout : Référence au guide ANSSI concernant les solutions d’analyse et de décontamination des supports amovibles
- Modification : Mises à jour critiques des systèmes d’exploitation (idem supra)
- Déplacement depuis Les précautions élémentaires : Politique des mises à jour fonctionnelles
Fiche n°7
Ancienne fiche n°6
Les précautions élémentaires
- Ajout : Sécurisation des accès distants
- Clarification : Stockage des données en nomadisme et espaces partagés
- Ajout : Utilisation d’équipements personnels par les utilisateurs (pratique « bring your own device » ou BYOD)
Ce qu’il ne faut pas faire
- Ajout : Incidence des pratiques BYOD sur la vie privée
Pour aller plus loin
- Ajout : Référence à la fiche de la CNIL sur le BYOD
- Ajout : Système de gestion des appareils mobiles (MDM ou « mobile device management »)
- Ajout : Spécificités du BYOD sur les mesures déjà présentes
- Simplification : Suppression du cas de la collecte de données en itinérance (redondance)
Fiche n°8
Ancienne fiche n°7
- Modification : Titre de la fiche
- Ajout : Introduction
- Clarification : Schéma d’une DMZ
Les précautions élémentaires
- Ajout : Opérations d’administration à effecter à travers un VPN
- Déplacement depuis Ce qu’il ne faut pas faire : Protocole SSH
- Déplacement depuis Pour aller plus loin : Cloisonnement réseau et DMZ (« demilitarized zone »)
Pour aller plus loin
- Ajout : Équipements maitrisés pour les opérations d’administration et de maintenance
Fiche n°9
Ancienne fiche n°8
Les précautions élémentaires
- Clarification : Mises à jour de sécurité (tests préalables)
- Déplacement vers la fiche n°11 : Mesures contre les attaques courantes ciblant les bases de données
- Clarification : Vérification des sauvegardes
- Ajout : Interdiction des algorithmes de chiffrement obsolètes
Ce qu’il ne faut pas faire
- Ajout : Serveurs obsolètes
- Modification : Utilisation des serveurs pour d’autres fonctions que l’hébergement de bases de données
Pour aller plus loin
- Clarification : Environnement dédié au traitement de données sensibles
- Ajout : Chiffrement des flux internes
- Ajout : Mesures à appliquer aux serveurs obsolètes
- Clarification : Accès aux ports de diagnostic et de configuration
Fiche n°10
Ancienne fiche n°9
Les précautions élémentaires
- Ajout : Certificats pour l’utilisation de TLS
- Ajout : Options à implémenter dans les cookies
- Ajout : Référence à la fiche n°11 et Top 10 OWASP
Pour aller plus loin
- Ajout : Niveaux L1 et L2 des recommandations de l’OWASP
Fiche n°11
Ancienne fiche n°12
Les précautions élémentaires
- Ajout : Composants et outils reconnus par la communauté
- Ajout : Mesures contre les attaques courantes ciblant les bases de données
- Modification : Gestion des secrets dans le code source
- Ajout : test de non-régression
Ce qu’il ne faut pas faire
- Simplification : Suppression de la notion de défense en profondeur
Pour aller plus loin
- Déplacement depuis Les précautions élémentaires + Étoffement : Défense en profondeur
Fiche n°12
Ancienne fiche n°16
Les précautions élémentaires
- Ajout : Portes verrouillées
Ce qu’il ne faut pas faire
- Ajout : Visibilité et accessibilité des données
Fiche n°13
Ancienne fiche n°15
- Modification : Titre de la fiche
Ce qu’il ne faut pas faire
- Ajout : Suppression des fichiers sur les plateformes de transfert
Fiche n°14
Ancienne fiche n°14
Les précautions élémentaires
- Suppression : Communication de la politique de sécurité
- Déplacement dans Pour aller plus loin : Communication des certifications
Pour aller plus loin
- Ajout : Référence à la fiche n°22
- Ajout : Chaîne de sous-traitance
- Ajout : Certifications ISO/IEC 27701 et ISO/IEC 27001
Fiche n°15
Ancienne fiche n°13
Pour aller plus loin
- Ajout : Référence au chapitre dédié à la maintenance par des tiers du guide ANSSI concernant l’administration sécurisée
Fiche n°16
Ancienne fiche n°4
- Modification : Titre de la fiche
Les précautions élémentaires
- Clarification : Différence entre traces applicatives et traces techniques
- Ajout : Supervision du système de journalisation
- Ajout : Notification des sous-traitants au responsable de traitement
- Ajout : Analyse des traces
Ce qu’il ne faut pas faire
- Ajout : Conservation des traces
Pour aller plus loin
- Ajout : Enclave de collecte
- Ajout : Référence aux recommandations de l’ANSSI pour la journalisation en environnement Active Directory
Fiche n°17
Ancienne fiche n°10
- Modification : Titre de la fiche
Les précautions élémentaires
- Clarification : Sauvegarde sur un site éloigné géographiquement
- Ajout : Tests des sauvegardes
Ce qu’il ne faut pas faire
- Ajout : Niveau de sécurité du système de sauvegarde
- Ajout : Test des sauvegardes
Pour aller plus loin
- Ajout : Règle « 3 – 2 – 1 »
- Déplacement depuis Les précautions élémentaires : Coffres ignifugés et étanches
Fiche n°18
Ancienne fiche n°10
- Modification : Titre de la fiche
- Ajout : Introduction
Les précautions élémentaires
- Ajout : Niveau de protection des données dans les plans de continuité et de reprise d’activité
Ce qu’il ne faut pas faire
Entièrement nouveau
Pour aller plus loin
- Ajout : Organisation de la gestion de crise
- Ajout : Réalisation d’exercices des procédures en place
- Ajout : Tests des mesures techniques de continuité et de reprise d’activité
Fiche n°19
Ancienne fiche n°4
- Modification : Titre de la fiche
- Ajout : Introduction
Les précautions élémentaires
- Ajout : Analyse des traces
- Clarification : Mesures relatives aux utilisateurs
- Clarification : Procédures de gestion des traces et des incidents
- Clarification : Relation entre incident et violation
- Ajout : Évaluation du risque pour les personnes
Ce qu’il ne faut pas faire
Entièrement nouveau
Pour aller plus loin
- Ajout : Formation du personnel sur les violations
- Ajout : Référence aux lignes directrices du CEPD concernant des exemples de violations
- Ajout : Référence aux lignes directrices du G29 concernant la notification des violations
Fiche n°20
Ancien contenu de l'avant-propos
- Ajout : Titre de la fiche
- Ajout : Introduction
Les précautions élémentaires
- Ajout : Analyse d’impact relative à la protection des données (AIPD)
- Étoffement : Liste des supports sur lesquels les traitements reposent
- Ajout : Référence à la fiche n°1
- Ajout : Revue régulière de l’analyse
Ce qu’il ne faut pas faire
Entièrement nouveau
Pour aller plus loin
- Ajout : Référence aux listes de traitement soumis ou non à une AIPD publiées par la CNIL
Fiche n°21
Ancienne fiche n°17
- Modification : Titre de la fiche
Les précautions élémentaires
- Clarification : Taille des clés pour AES
Ce qu’il ne faut pas faire
- Ajout : Sel pour le hachage des mots de passe
Fiche n°22
Entièrement nouvelle
Pour aller plus loin
- Déplacement depuis la fiche n°14 : Codes de conduite des sous-traitants de cloud computing
Fiche n°23
Entièrement nouvelle
Fiche n°24
Entièrement nouvelle
Fiche n°25
Entièrement nouvelle
Ancienne fiche n°11
Supprimée