Scribd
Importer
37 vues2 pages

Corrige Evaluation 1

Le document identifie plusieurs vulnérabilités organisationnelles et technologiques dans le traitement des données personnelles, notamment des erreurs de saisie et l'utilisation du protocole FTP non sécurisé. Il souligne un niveau de risque inacceptable lié aux inscriptions des clients, nécessitant une mise en conformité pour réduire ce risque. Des recommandations incluent la séparation des données sensibles, une gestion stricte des mots de passe, et l'utilisation de protocoles de cryptage pour sécuriser les transferts de données.

Transféré par

felicyrossy
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
37 vues2 pages

Corrige Evaluation 1

Le document identifie plusieurs vulnérabilités organisationnelles et technologiques dans le traitement des données personnelles, notamment des erreurs de saisie et l'utilisation du protocole FTP non sécurisé. Il souligne un niveau de risque inacceptable lié aux inscriptions des clients, nécessitant une mise en conformité pour réduire ce risque. Des recommandations incluent la séparation des données sensibles, une gestion stricte des mots de passe, et l'utilisation de protocoles de cryptage pour sécuriser les transferts de données.

Transféré par

felicyrossy
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Evaluation chap1, corrigé

1.1Vulnérabilités organisationnelles

• - Une erreur de saisie peut être réalisée par le responsable de l’agence


lors des changements qu’il peut apporter sur les données à caractère personnel.
• - Le directeur de l’agence communique parfois ses identifiants de connexion
à d’autres salariés ce qui revient à leur donner ses droits de suppressions, d’insertions,
de modifications (voir document 1) sur les données contenues dans la base
de données.

Vulnérabilités technologiques

• - Le protocole de transfert de fichiers vers le serveur de fichiers est réalisé avec le


protocole FTP sans cryptage des données (développement à la question 1.2.).
• - L’identifiant et le mot de passe utilisé pour accéder au transfert de fichiers sont
les mêmes que ceux utilisés pour l’accès à la base de données. Une personne
malveillante pourrait accéder à l’un de ses identifiants de connexion et ainsi avoir
accès à la fois aux données contenues dans la base mais également aux fichiers stockés

1.2 Vulnérabilité du ftp

• Les critères de sécurité sont : la disponibilité, la confidentialité, l’intégrité et la preuve


(voir fiche savoirs technologiques 2).
• - Le protocole FTP ne permet pas à lui seul d’assurer l’intégrité des données parce
qu’il n’assure pas leur cryptage. Une personne malveillante peut écouter les
informations communiquées via ce protocole et les lire facilement. On dit que les
données transitent ‘en clair’.

1.3. Commentez le niveau de risque diagnostiqué pour le traitement des


inscriptions.

• - La cartographie présentée dans le document 4 présente un niveau de risque


inacceptable pour les traitements des inscriptions.
• - Le niveau de gravité 4 précise que le risque sur les données traitées lors du
processus d’inscriptions des clients peut entraîner des conséquences très importantes
pour l’organisation Terre & Mer85.
• - De plus, le risque sur le traitement des données lors de l’inscription d’un client
paraît très vraisemblable (niveau 3), c’est-à-dire qu’il a de fortes chances d’être avéré

2.1

1. Dans les engagements listés par le prestataire ITCloud (document 5) certains


permettent d’aider à la mise en conformité de la protection des données personnelles :
o - lorsqu’une zone de stockage est sélectionnée dans l’Union européenne,
ITCloud s’engage à ne traiter les données que dans un pays de l’UE et assure
que celles-ci ne seront pas traitées aux États-Unis ;
o - en cas de violation d’informations, ITCloud s’engage à prévenir ses clients
dans les meilleurs délais ;
o - une sécurisation des infrastructures de stockage est assurée par ITCloud tout
en rappelant que le client reste responsable de la sécurisation de ses
applications.

Liste des solutions techniques et organisationnelles qui permet la mise en


conformité de la protection des données
à caractère personnel pour le traitement des inscriptions.

2.2

Monsieur,
Le traitement des inscriptions des clients par votre organisation révèle plusieurs
vulnérabilités d’ordre organisationnelles ou technologiques (voir question 1.1.).
Ainsi, la cartographie des risques sur le traitement des données montre un risque
actuellement inacceptable sur les données à caractère personnel (voir question 1.2.).
Une mise en conformité de la protection des données à caractère personnel doit
ramener ce niveau de risque à un niveau « acceptable sous contrôle ».
Pour cela il faut réduire le niveau de gravité du risque. Ceci peut être réalisé en
proposant de revoir l’organisation de la base de données actuelle en séparant les
données à caractère personnel des autres et en y associant des droits d’accès différents
et propres à la fonction de chaque utilisateur.
Le niveau de vraisemblance du risque peut être réduit par une gestion plus rigoureuse
des mots de passe et un cryptage des données transférées. L’utilisation d’un protocole
de cryptage (à travers un VPN, ou en cryptant les données à la source) ou le recours à
SFTP permettrait d’assurer la confidentialité des données pendant leur transport.

Vous aimerez peut-être aussi