La PSSI peut inclure une charte informatique souvent constituée de deux niveaux (utilisateur puis informaticien), un règlement intérieur , un contrat de travail (venant préciser par exemple le recours à un dispositif vidéo), le paramétrage des applicatifs, puis d’autres règles de sécurité plus spécifiques. Il peut y avoir une PSSI au niveau d’un groupe, puis une autre par agence.
La sensibilisation
Il est primordial de sensibiliser les utilisateurs, la sensibilisation est un élément clé des procédures organisationnelles à mettre en oeuvre et requises par le RGPD.
Charte informatique (+ engagement de confidentialité)
Il faut faire signer la charte de confidentialité et politique de sécurité, la mettre à disposition sur l’intranet, éventuellement s’assurer d’une avancée par étape dans la lecture, voir des gaming pour documenter la sensibilisation.
Classification des informations
La classification est un préalable à toute politique effective de contrôle d’accès et de partage des données. Il est important d’informer les personnes sur le niveau de sensibilité qu’elles traitent afin qu’elles puissent appréhender avec qui elles peuvent les partager, pour les fans de séries, cela se rapproche du “droit à en connaître” dans « le bureau des légendes ».
Le partage trop large avec des tiers non autorisés ou non soumis aux mêmes règles de confidentialité et de sécurité, peut amener à des fuites de données personnelles avec des répercussions désastreuses pour l’organisme.
Mises à jour des politiques et procédures
Les documents doivent être maintenus et leurs modifications et mises à jour notifiées aux intéressés.
Politique de gestion des mots de passe
Par exemple les exigences concernant les mots de passe évoluent, il faut être prêt à mettre à jour la documentation relative puis à s’assurer du partage de cette information et de sa réception par les utilisateurs.
Séances de formation et de sensibilisation
Les enjeux
Il faut également sensibiliser sur les enjeux tels que l’image de l’entreprise, le risque de dévalorisation et donc de répercussion sur l’emploi. Il est souvent recommandé de vulgariser le message voir de recourir à l’humour afin d’optimiser la compréhension et le partage de l’information par effet de buzz entre les équipes.
Les prestataires
La relation avec les prestataires est une source très importante de risque constatée sur le terrain, il faut se méfier des partages avec ce que l’on peut appeler des éléctrons libres. Un exemple répandu concerne la modernisation du site internet de l’entreprise par webmaster externe, lui même potentiellement sous-traitant d’une agence de communication mandatée pour la prestation. Lorsqu’une nouvelle brique est apposée au réseau il faut absolument en avertir le RSSI et/ou DPO, en amont du projet et dans tous les cas avant toute ouverture des accès, afin de prévoir que le prestataire s’engage à se plier aux règles. Ce type de réflexe est le fruit d’un programme de sensibilisation et de formation dispensé en continu.
Avec le RGPD, les prestataires sont de fait mis face à une nouvelle concurrence: le respect de l’application du RGPD représente un coût d’implémentation puis de maintenance pour tout prestataire, il ne fait nul doute que certains prestataires choisiront une mise en conformité de façade ou à minima, quitte à signer des DPA Data Privacy Agreement avec leurs clients en se pinçant le nez. Cela leur permet d’offrir des prestations à des prix défiant toute concurrence, notamment la concurrence d’autres prestataires véritablement engagés dans une mise en conformité onéreuse. Là encore, le Responsable de traitement doit se montrer prudent en questionnant son sous-traitant principal sur la base du DPA qui lui est présenté, afin de vérifier l’authenticité des mesures mentionnées. (en savoir plus sur la responsabilité du responsable de traitement et la responsabilité du sous-traitant)