Identification correcte des menaces
UNE IDENTIFICATION CORRECTE DES RISQUES PERMET LE BON CHOIX DES MESURES DE SÉCURITÉ
Ajuster les opérations de traitement en procédant à une analyse des risques pour estimer son niveau approprié, mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer la capacité de rétablir rapidement l’accès aux données en cas d’incident et assurer leur test, mesure et évaluation réguliers de l’efficacité – assure la sécurité du traitement des données dans l’organisation.
Les données personnelles doivent être traitées de manière à garantir une sécurité adéquate des données personnelles, y compris la protection contre le traitement non autorisé ou illégal et contre la perte, la destruction ou les dommages accidentels, par des mesures techniques ou organisationnelles appropriées (“confidentialité, intégrité, disponibilité”).
L’obligation d’assurer la sécurité des données traitées est le fondement de la protection juridique des données personnelles. Le RGPD n’impose pas de mesures spécifiques à prendre pour assurer la sécurité des données, laissant le responsable du traitement libre en la matière.
Lors de la précision du principe de confidentialité, il convient de rappeler que le responsable du traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées pour que le traitement se déroule conformément au RGPD. Leur détermination est un processus en deux étapes. Tout d’abord, il est crucial de déterminer le niveau de risque lié au traitement des données personnelles, puis il est nécessaire de déterminer quelles mesures techniques et organisationnelles seront appropriées pour assurer le niveau de sécurité correspondant à ce risque.
L’administrateur ne doit pas utiliser de logiciel qui n’est plus pris en charge par le fabricant. Il convient de rappeler que dans de tels cas, aucune mise à jour logicielle, de sécurité et de correctif n’est publiée pour le système utilisé. L’absence de mesures de sécurité intégrées et mises à jour, en particulier, augmente le risque d’infection par des logiciels malveillants et des attaques en créant de nouvelles failles de sécurité.
L’absence d’analyse des risques, l’absence d’identification des menaces et l’absence de mise en œuvre des mesures organisationnelles et techniques appropriées entraînent une violation de la protection des données personnelles en brisant la sécurité du système informatique de l’administrateur utilisé pour traiter les données personnelles et, par conséquent, le cryptage des les données qui y sont traitées à l’aide de logiciels malveillants.
Les instructions internes de gestion des systèmes informatiques doivent définir les règles de réalisation des sauvegardes et de vérification de l’exactitude de leur préparation, et il convient de développer des procédures de restauration rapide de la disponibilité des données.