Chapitre 9.4 — Sécurité organisationnelle
⏱️ TL;DR — L’article 32 parle de mesures techniques ET organisationnelles. On oublie souvent la deuxième moitié, alors que le facteur humain est la première cause d’incident de sécurité : hameçonnage, mot de passe réutilisé, clé USB perdue, accès d’un ancien salarié jamais coupé, pièce jointe piégée. Aucun chiffrement ne protège contre un collaborateur qui clique sur le mauvais lien ou part avec ses accès encore actifs. La sécurité organisationnelle, c’est sensibiliser, cadrer (politique de mots de passe, confidentialité), gérer les départs (révocation) et écrire les procédures. C’est peu coûteux et redoutablement efficace.
🎯 Objectifs
- Comprendre pourquoi le facteur humain est la 1re cause d’incident, et ce que ça implique.
- Mettre en place une sensibilisation utile (hameçonnage, mots de passe, données perso).
- Définir une politique de mots de passe raisonnable et un cadre de confidentialité.
- Gérer les arrivées et départs : provisionnement et surtout révocation des accès.
- Sécuriser les postes et téléphones et poser les procédures minimales.
La sécurité n’est pas qu’un problème technique
On peut avoir le meilleur chiffrement, le RBAC le plus fin, la MFA partout — et tout perdre parce qu’une personne a communiqué son mot de passe à un faux support par téléphone, ou parce que l’ordinateur portable d’un formateur, non chiffré, a été volé dans un train. L’article 32 le dit noir sur blanc : les mesures sont techniques ET organisationnelles. La moitié organisationnelle, c’est les gens et les processus.
Les incidents les plus fréquents ne sont pas des exploits sophistiqués, ce sont des classiques humains :
- hameçonnage (phishing) : un e-mail crédible pousse à saisir ses identifiants ou à cliquer ;
- mot de passe réutilisé entre un service perso piraté et l’outil pro ;
- support piégé (ingénierie sociale) : quelqu’un se fait passer pour l’informatique et obtient un accès ;
- perte ou vol d’un ordinateur ou téléphone non chiffré ;
- erreur d’envoi : un fichier de données personnelles envoyé au mauvais destinataire ;
- accès d’un ancien collaborateur jamais révoqué.
Aucun de ces incidents ne se règle par un algorithme. Ils se règlent par de la sensibilisation, des règles claires et des procédures.
⚠️ Piège — Tout miser sur la technique et considérer la formation des équipes comme « du temps perdu ». La CNIL, dans ses contrôles, regarde aussi l’organisationnel : sensibilisation, gestion des habilitations, procédures de départ. Une belle architecture technique avec des équipes non sensibilisées, c’est une porte blindée avec la clé sous le paillasson.
Sensibiliser : la mesure au meilleur rendement
Sensibiliser, ce n’est pas un séminaire annuel qu’on oublie le lendemain. C’est installer des réflexes :
- reconnaître un e-mail d’hameçonnage (expéditeur douteux, urgence artificielle, lien qui ne correspond pas, demande de mot de passe) ;
- ne jamais communiquer son mot de passe, à personne, même « à l’informatique » ou « au support » ;
- verrouiller sa session en quittant son poste ;
- se méfier des pièces jointes et des clés USB inconnues ;
- savoir à qui signaler un doute ou un incident, vite et sans crainte d’être blâmé.
Ce dernier point est capital : une équipe qui ose signaler une erreur (« j’ai cliqué sur un lien bizarre », « j’ai envoyé le fichier au mauvais contact ») permet de réagir en 72 h (Partie 10). Une équipe qui a peur d’être punie cache l’incident — et c’est là qu’il devient grave.
💡 Réflexe — Instaure une culture du signalement sans blâme. L’objectif n’est pas de punir celui qui a cliqué, mais de réagir vite. La personne qui signale son erreur en cinq minutes est un atout de sécurité, pas un coupable. Un canal de signalement simple et connu de tous vaut mieux que dix pages de procédure que personne ne lit.
Politique de mots de passe (raisonnable)
Une politique de mots de passe n’a pas besoin d’être tyrannique pour être efficace. Les principes qui font consensus aujourd’hui :
- Longueur avant complexité : privilégier des mots de passe (ou phrases de passe) longs plutôt que des règles absurdes de caractères spéciaux qui poussent à écrire le mot de passe sur un post-it.
- Unicité : un mot de passe différent par service — d’où l’intérêt d’un gestionnaire de mots de passe, qu’on peut recommander à l’équipe.
- MFA sur les accès sensibles (vu au chapitre 9.3), qui compte plus que n’importe quelle règle de complexité.
- Pas de rotation forcée arbitraire (changer tous les 30 jours pousse aux mots de passe faibles et incrémentés) ; on change en cas de soupçon de compromission.
- Bannir les mots de passe par défaut et les comptes de démonstration en production.
📚 Le texte — Le RGPD ne fixe aucune règle chiffrée de mot de passe : ces recommandations relèvent des guides de la CNIL et de l’ANSSI, qui ont fait évoluer leur doctrine vers « longueur + MFA + gestionnaire » plutôt que « complexité + rotation forcée ». Consulte leurs recommandations à jour pour les paramètres précis — n’invente pas de seuil.
Arrivées et départs : le point qui fuit
La gestion des accès dans le temps (chapitre 9.3) a un versant purement RH/organisationnel : le cycle de vie d’un collaborateur.
- Arrivée : provisionner les accès au bon niveau (moindre privilège), pas « les mêmes que le collègue » par facilité.
- Changement de poste : ajuster les droits (retirer les anciens, ajouter les nouveaux) — sinon les droits s’accumulent.
- Départ : révoquer immédiatement tous les accès — comptes applicatifs, e-mail, VPN, outils tiers, badges, et surtout ne rien oublier.
Le départ est le maillon faible classique : un ancien salarié (ou un prestataire en fin de mission) dont le compte reste actif est un risque majeur — accès rancunier, ou compte oublié qui sera compromis plus tard. La révocation doit être immédiate, complète et tracée.
💡 Réflexe — Tiens une checklist de départ (offboarding) : liste de tous les accès à couper, cochée le jour même. Idéalement, le départ déclenche automatiquement la révocation. Le pire scénario est le compte fantôme : plus personne aux commandes, mais un accès toujours ouvert. Vérifie aussi les comptes partagés sur services tiers et les clés d’API créées par la personne.
Postes, téléphones et confidentialité
Les données personnelles vivent aussi sur les terminaux : ordinateurs portables, téléphones, parfois clés USB. Mesures organisationnelles de base :
- Chiffrement du disque des postes et des téléphones (perte/vol = données illisibles).
- Verrouillage automatique et code/biométrie sur les appareils.
- Mises à jour de sécurité appliquées (systèmes et applications à jour).
- Antivirus/pare-feu selon le contexte, sauvegarde des postes si nécessaire.
- Encadrer (ou éviter) les clés USB et le stockage local de données sensibles.
Côté humain et contractuel : des clauses de confidentialité dans les contrats (salariés, stagiaires, prestataires) rappellent l’obligation de discrétion sur les données consultées. Ce n’est pas qu’un papier : c’est la formalisation de l’engagement, utile en cas de manquement. Rappelle-toi aussi que faire appel à un sous-traitant (hébergeur, e-mailing, IA…) impose un contrat (DPA) au titre de l’art. 28 — c’est la Partie 12, mais ça relève de la même logique organisationnelle : encadrer qui touche aux données.
Des procédures, pas seulement de la bonne volonté
Enfin, un minimum de procédures écrites transforme les bonnes intentions en réflexes fiables et démontrables (accountability) :
- procédure d’incident : qui prévenir, quoi faire, dans quel ordre (elle prépare la notification 72 h de la Partie 10) ;
- procédure d’arrivée/départ (les checklists ci-dessus) ;
- procédure de gestion des accès (qui accorde, qui révoque, qui révise) ;
- politique de sécurité générale qui chapeaute le tout.
Ces documents n’ont pas besoin d’être épais. Ils doivent être connus, appliqués et à jour. Une procédure que personne ne connaît ne protège personne.
🧭 Sur FormaCampus — Le facteur humain est partout : des formateurs parfois peu à l’aise avec l’informatique, des gestionnaires qui manipulent des dossiers de stagiaires, des prestataires ponctuels. FormaCampus met donc en place : une sensibilisation au hameçonnage et aux mots de passe à l’arrivée, un gestionnaire de mots de passe recommandé, une checklist de départ qui coupe tous les accès le jour même, le chiffrement des postes, des clauses de confidentialité dans les contrats, et une procédure d’incident connue de l’équipe. Ces mesures organisationnelles complètent la technique des chapitres 9.2 et 9.3.
🔒 Côté personne concernée — Un parent ne sait pas si l’école chiffre sa base. Mais il ressent le sérieux d’une équipe formée : celle qui ne lui demande jamais son mot de passe par e-mail, qui verrouille les écrans, qui ne laisse pas traîner les dossiers, qui coupe les accès des anciens collègues. La sécurité organisationnelle, c’est la partie visible de la confiance : le comportement quotidien des personnes qui manipulent les données de son enfant.
✏️ Exercices
Exercice 1 — L’ancien salarié. Un développeur quitte l’entreprise. Trois semaines plus tard, on découvre que son compte GitHub, son accès à la base de prod et son e-mail pro sont toujours actifs. Quels risques, et quelle mesure aurait évité ça ?
✅ Solution
Risques : accès non autorisé persistant (volontaire ou parce que le compte sera compromis plus tard), exfiltration possible de données personnelles, altération de la prod, lecture d’e-mails. C’est une violation potentielle au sens de la Partie 10. Mesure : une procédure de départ (offboarding) avec checklist de tous les accès à révoquer le jour du départ (comptes applicatifs, dépôt de code, base, e-mail, VPN, outils tiers, clés d’API). Idéalement, révocation automatisée au départ, et revue périodique des accès pour rattraper les oublis.
Exercice 2 — Politique de mots de passe. Un responsable propose : « 8 caractères avec majuscule, chiffre et symbole, changement obligatoire tous les 30 jours ». Qu’en penses-tu au regard des bonnes pratiques actuelles ?
✅ Solution
C’est une politique datée et contre-productive. La rotation forcée tous les 30 jours pousse aux mots de passe faibles et prévisibles (Motdepasse1!, Motdepasse2!…) et aux post-it. La complexité imposée sur seulement 8 caractères protège mal. Mieux : privilégier la longueur (phrases de passe longues), l’unicité par service (via un gestionnaire de mots de passe), la MFA sur les accès sensibles, et ne changer qu’en cas de soupçon de compromission. C’est la doctrine actuelle CNIL/ANSSI : longueur + MFA + gestionnaire plutôt que complexité + rotation arbitraire.
Exercice 3 — Culture du signalement. Une gestionnaire réalise qu’elle a envoyé par erreur un tableur de stagiaires (avec aménagements de handicap) au mauvais destinataire externe. Elle hésite à le dire par peur d’être sanctionnée. Pourquoi doit-elle signaler tout de suite, et qu’est-ce qui, dans l’organisation, doit rendre ce signalement possible ?
✅ Solution
Elle doit signaler immédiatement parce que c’est une violation de données (divulgation à un tiers non autorisé) touchant des données sensibles (santé) : le compteur des 72 h pour notifier la CNIL peut se déclencher (Partie 10), et une réaction rapide (demander la suppression au destinataire, évaluer le risque) limite les dégâts. Ce qui doit le permettre côté organisation : une culture du signalement sans blâme, un canal connu de tous, et une procédure d’incident claire. Punir la personne qui signale, c’est garantir que le prochain incident sera caché — bien plus dangereux.
🧠 Quiz de révision
1. Pourquoi dit-on que le facteur humain est la 1re cause d’incident ?
Parce que la plupart des incidents ne sont pas des exploits techniques sophistiqués, mais des classiques humains : hameçonnage, mot de passe réutilisé, ingénierie sociale, perte/vol de matériel, erreur d’envoi, accès d’un ancien collaborateur. Aucun chiffrement ne protège contre un clic sur le mauvais lien : d’où l’importance des mesures organisationnelles.
2. Que doit contenir une sensibilisation utile ?
Des réflexes installés, pas un séminaire oublié : reconnaître l’hameçonnage, ne jamais communiquer son mot de passe, verrouiller sa session, se méfier des pièces jointes/clés USB, et surtout savoir à qui signaler un doute ou une erreur, vite et sans crainte. La culture du signalement sans blâme conditionne la réaction en 72 h.
3. Quelles sont les bonnes pratiques actuelles de mots de passe ?
Longueur (phrases de passe) plutôt que complexité tordue, unicité par service (via un gestionnaire), MFA sur les accès sensibles, pas de rotation forcée arbitraire (on change en cas de soupçon de compromission), et bannir les mots de passe par défaut. Le RGPD ne fixe aucun chiffre : on suit les guides CNIL/ANSSI.
4. Pourquoi le départ d’un collaborateur est-il un point critique ?
Parce qu’un accès non révoqué reste ouvert : risque d’accès rancunier ou de compte oublié compromis plus tard — une violation potentielle. La révocation doit être immédiate, complète et tracée (tous les accès : applicatifs, e-mail, code, VPN, outils tiers, clés d’API), idéalement via une checklist d’offboarding et une revue périodique.
5. Pourquoi écrire des procédures si l’équipe est déjà de bonne volonté ?
Parce que les procédures transforment la bonne volonté en réflexes fiables et démontrables (accountability). Une procédure d’incident connue prépare la notification 72 h ; une checklist de départ évite les comptes fantômes. Courtes mais connues, appliquées et à jour : une procédure que personne ne connaît ne protège personne.
Chapitre suivant : Journaux (logs) & atelier — le piège dev par excellence (ne pas faire fuiter des données perso dans les logs) et l’atelier de mise en sécurité de FormaCampus.