Les données stockées dans votre logiciel CRM sont-elles en sécurité ?
La sécurité des données personnelles est au cœur du RGPD (règlement général européen sur la protection des données) qui entrera en application le 25 mai 2018.
Si les plus grands collecteurs de données devraient être les premiers à être contrôlés, toutes les entreprises sont concernées, indépendamment de l’effectif, du chiffre d’affaires ou de la quantité de données traitées.
Le RGPD encourage les institutions et organes de l'Union ainsi que les Etats membres à prendre en considération les besoins spécifiques des micro, petites et moyennes entreprises, mais ne les dispense pas de leurs obligations.
Au delà de la loi et des sanctions encourues, le RGPD est aussi une formidable opportunité d'améliorer la sécurité de votre base de données CRM, et de rassurer vos clients sur la façon dont vous protégez leurs données.
Pour vous aider à sécuriser votre logiciel CRM, voici un récapitulatif des conseils de la CNIL publiés dans le guide La sécurité des données personnelles.
Sensibiliser les utilisateurs
Les utilisateurs du logiciel CRM doivent être sensibilisés à l'importance de la protection des données. Une formation sur les grands principes du RGPD est la bienvenue.
Authentifier les utilisateurs
Votre logiciel CRM doit être soumis à une authentification. Les utilisateurs doivent s'identifier à l'aide d'un identifiant et d'un mot de passe fort.
Gérer les habilitations
Les données personnelles stockées et traitées par l'entreprises doivent être uniquement accessibles aux salariés qui en ont besoin dans l'exercice de leurs missions. Ainsi, les droits d'accès et les droits de modifications des données varient en fonction du profil de l’utilisateur.
Tracer les accès et gérer les incidents
L'activité des utilisateurs, les anomalies et les événements liés à la sécurité sont enregistrés grâce à un système de journalisation sécurisé. Les utilisateurs de la base de données CRM sont informés au préalable de l'utilisation d'un tel système.
Sécuriser les postes de travail
Pour éviter les intrusions dans les systèmes informatiques, les postes de travail sont sécurisés à l'aide de : système de verrouillage automatique de session, pare-feu, anti-virus mis à jour régulièrement, sauvegarde de données. Cette liste n'est pas exhaustive.
Sécuriser l'informatique mobile
La mise en œuvre de sauvegardes ou de synchronisations, le verrouillage automatique du terminal mobile, et des moyens de chiffrement des postes nomades sont fortement recommandés. Les utilisateurs doivent également être sensibilisés aux risques spécifiques liés à l'utilisation d'outils informatiques mobiles.
Protéger le réseau informatique interne
Les flux de réseau doivent être limités au stricte nécessaire, les accès distants sont sécurisés par VPN, et le protocole WPA2 ou WPA2-PSK est requis.
Sécuriser les serveurs
La sécurité des serveurs doit être une priorité. La sauvegarde régulière des données, l’installation des mises à jour critiques et la limitation des accès aux interfaces d’administration sont des bonnes pratiques qui vous permettront de garantir la sécurité des données.
Sécuriser les sites web
Les données récoltées sur les visiteurs de votre site web sont aussi des données à protéger, vous devez donc garantir la confidentialité des informations transmises par ce biais. Vous pouvez par exemple mettre en œuvre le protocole TLS, limiter l’accès aux outils et interfaces d’administration, vérifier qu’aucun mot de passe ne passe dans l’URL, et vous assurer que les entrées des utilisateurs correspondent à ce qui est attendu.
Sauvegarder et prévoir la continuité d'activité
La protection des données passe par des sauvegardes régulières et stockées dans un endroit sûr. Un plan de continuité ou de reprise d’activité anticipant les éventuels incidents (ex : panne matérielle) doit être préparé.
Encadrer la maintenance et la destruction des données
Les interventions de maintenance doivent être enregistrées dans une main courante et encadrées par un responsable en interne lorsqu’elles sont effectuées par des tiers.
Gérer la sous-traitance
Vous pouvez toujours sous-traiter le traitement des données personnelles que vous collectez, mais vous devez vous assurer que le sous-traitant présente des garanties suffisantes. Il est conseillé de réactualiser les contrats en y ajoutant des clauses garantissant le respect du RGPD.
Sécuriser les échanges avec d'autres organismes
L’échange de données doit être fait à l’aide de canaux sécurisés. La CNIL nous rappelle que la messagerie électronique seule n’est pas un moyen de communication sûr. Pour assurer la confidentialité des données, il convient d’envoyer les données chiffrées et la clé de chiffrement par des canaux distincts (ex : fichier chiffré par email et clé par sms).
Protéger les locaux
Il faut également penser à protéger les locaux dans lesquels vous conservez vos données. Pour éviter ou ralentir la perte et le vol de données, les locaux doivent au moins être protégés par des systèmes d’alarmes anti-intrusion, un contrôle des entrées et des sorties, et des détecteurs de fumée.
Encadrer les développements informatiques
Afin de limiter les risques d’erreurs, de pertes, de vols et de modifications non autorisées des données, la protection des données à caractère personnel doit être intégrée au développement informatique dès les phases de conception des nouvelles applications.
Utiliser des fonctions cryptographiques
L’utilisation de fonctions cryptographiques permet d’assurer l’intégrité, la confidentialité et l’authenticité des données. Pour une meilleure sécurité, utilisez des algorithmes, des logiciels et des bibliothèques reconnues, et conservez les secrets et les clés cryptographiques en sécurité.