Les opérations de support doivent être encadrées pour maitriser l’accès aux données par les prestataires. Les données doivent être préalablement effacées des matériels destinés à être mis au rebut.
Les précautions élémentaires
- Enregistrer les interventions de maintenance dans une main courante.
- Ouvrir les accès nécessaires à la télémaintenance à la demande du prestataire et pour une durée adaptée à l’intervention et définie à l’avance. Ces accès doivent être refermés à l’issue de cette durée.
- Insérer une clause de sécurité dans les contrats de maintenance effectuée par des prestataires pour encadrer leurs accès aux systèmes d’information (voir l’exemple de clause ci-contre).
- Encadrer par un responsable de l’organisme les interventions par des tiers.
- Ne pas laisser seul un intervenant extérieur, notamment dans les salles sensibles (ex. : salle serveur).
- Supprimer de façon sécurisée les données des matériels avant leur mise au rebut, leur envoi en réparation chez un tiers ou en fin du contrat de location.
Ce qu’il ne faut pas faire
- Installer des applications pour la télémaintenance ayant des vulnérabilités connues (ex : applications qui ne chiffrent pas les communications).
- Réutiliser, revendre ou jeter des supports ayant contenu des données personnelles sans que les données n’aient été supprimées de façon sécurisée.
- Laisser un accès complet ou permanent aux systèmes pour la télémaintenance.