Dans la leçon précédente, on a couvert les accès logiques. Cette leçon s'attaque aux accès physiques : les appareils eux-mêmes. Quand un portable, un téléphone ou une clé USB qui contient des renseignements personnels disparaît, l'enjeu est immédiat.
Pour une PME, c'est une situation classique : un employé qui se fait voler son portable dans un café, une tablette oubliée dans un taxi, une clé USB perdue dans le métro. Le réflexe TI doit être prêt avant que ça arrive, parce que le bon moment pour préparer la réponse, ce n'est pas dans les minutes qui suivent la perte.
Le cadre légal
Trois articles cadrent ce qui suit.
L'article 10 impose des mesures de sécurité raisonnables. La perte d'un appareil non protégé qui contient des données sensibles est presque toujours analysée comme un manquement à cette obligation, indépendamment du fait que la perte soit accidentelle.
L'article 3.5 impose, dès qu'un incident de confidentialité est constaté, d'agir avec diligence raisonnable pour en réduire les conséquences et prévenir la récurrence.
L'article 3.6 définit l'incident de confidentialité comme un accès, une utilisation ou une communication non autorisé, ou une perte d'un renseignement personnel. Un appareil perdu ou volé entre directement dans cette...