# Mesures de sécurité

### 🔍 Introduction

Le RGPD (article 32) impose aux responsables de traitement et sous-traitants de **garantir la sécurité des données personnelles** par des **mesures techniques et organisationnelles appropriées**.\
Ces mesures doivent être **proportionnées aux risques** présentés par le traitement, à la **nature des données** et aux **finalités poursuivies**.

> 🎯 Objectif : assurer la **confidentialité**, l’**intégrité**, la **disponibilité** et la **résilience** des systèmes et des données.

***

### ⚖️ Une approche fondée sur le risque

Avant de choisir des mesures, il faut :

1. Identifier les **éléments à protéger** (données, systèmes, flux).
2. Évaluer les **menaces et vulnérabilités** (erreur humaine, attaque, panne, etc.).
3. Déterminer les **impacts potentiels** (perte, divulgation, altération…).
4. Choisir des **mesures adaptées** pour réduire ces risques à un niveau acceptable.

> 🧩 Le RGPD ne fixe pas de liste figée de mesures : il impose une **obligation de moyens renforcée**.\
> Chaque organisation doit **adapter** son dispositif à son contexte et pouvoir **le démontrer**.

***

### 🧱 Catégories de mesures de sécurité

#### 🔧 Mesures techniques

Agissent directement sur les systèmes d’information.

| Domaine                              | Exemples                                                                    |
| ------------------------------------ | --------------------------------------------------------------------------- |
| **Contrôle d’accès**                 | Authentification forte (MFA), gestion des habilitations, journalisation     |
| **Chiffrement**                      | Données au repos et en transit, certificats TLS, clés gérées et renouvelées |
| **Pseudonymisation / anonymisation** | Séparation logique, hachage, tokens                                         |
| **Sauvegardes et résilience**        | Backups réguliers, tests de restauration, redondance                        |
| **Sécurisation applicative**         | Tests de pénétration, correctifs, durcissement des serveurs                 |
| **Surveillance**                     | SIEM, alertes en cas d’accès anormal, détection d’incidents                 |

***

#### 🧭 Mesures organisationnelles

Structurent la gouvernance et les comportements internes.

| Domaine                          | Exemples                                                                         |
| -------------------------------- | -------------------------------------------------------------------------------- |
| **Politique de sécurité**        | Charte informatique, gouvernance SSI, plan de gestion des incidents              |
| **Formation et sensibilisation** | Campagnes internes, modules e-learning, simulations phishing                     |
| **Gestion des tiers**            | Clauses contractuelles, audits de sous-traitants, évaluations régulières         |
| **Procédures internes**          | Processus d’habilitation, plan de reprise d’activité (PRA/PCA), revue périodique |

***

#### 🏢 Mesures physiques

Protègent les locaux, équipements et supports matériels.

| Domaine                   | Exemples                                                        |
| ------------------------- | --------------------------------------------------------------- |
| **Accès physique**        | Contrôle badge, caméras, zones à accès restreint                |
| **Protection matérielle** | Coffres, racks sécurisés, alimentation de secours               |
| **Destruction sécurisée** | Broyage, effacement certifié, gestion des déchets informatiques |

***

### 🔁 Cycle de gestion de la sécurité

1. **Identifier** : données, systèmes, vulnérabilités, menaces.
2. **Évaluer** : risques et impacts potentiels (analyse de risque).
3. **Protéger** : définir et appliquer les mesures de sécurité.
4. **Surveiller** : détecter les incidents, auditer les contrôles.
5. **Améliorer** : corriger, renforcer, documenter les actions.

***

### 💼 Les mesures dans Dastra

Dastra facilite la **documentation, l’évaluation et le suivi** des mesures de sécurité dans le cadre de la gouvernance RGPD et du futur **AI Act** :

* 🧩 **Cartographiez** vos mesures dans le **registre des traitements**, par activité ou par sous-traitant.
* 🔍 **Évaluez les risques** avec le module de gestion des risques.
* 🧠 **Planifiez des actions correctives** et suivez leur avancement.
* 🧾 **Tracez les preuves de conformité** (politiques, audits, preuves d’exécution).
* 📊 **Mesurez la maturité sécurité** de votre organisation.

***

### 📚 Ressources utiles

* [Guide CNIL – Sécurité des données personnelles](https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles)
* [ISO/IEC 27001 – Systèmes de management de la sécurité de l’information](https://www.iso.org/fr/isoiec-27001-information-security.html)
* [ANSSI – Recommandations de sécurité informatique](https://www.ssi.gouv.fr/)

***

{% hint style="success" %}
💡 **Bon réflexe :** Adoptez une logique de **sécurité intégrée et vivante** : chaque nouveau projet, sous-traitant ou outil doit faire l’objet d’une évaluation de risque et d’une mise à jour des mesures.
{% endhint %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://doc.dastra.eu/rappels-utiles/rgpd-en-bref/mesures-de-securite.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.