L’Association Tutélaire des Vosges s’assure de sa conformité grâce à FileAudit

L’Association Tutélaire des Vosges s’assure de sa conformité grâce à FileAudit

  • Client

    Association Tutélaire des Vosges

  • Industrie

    Protection Juridique des Majeurs

  • Lieu

    France

FileAudit correspondait exactement à notre demande suite à l’obligation légale de tracer les accès aux fichiers contenant des données personnelles. Son utilisation facile et sa prise en main très rapide nous ont tout de suite convaincu.

Sébastien CORNUAU Responsable Informatique, Logistique & Sécurité

  • Défi: Obligation légale de traçabilité des accès aux fichiers de données personnelles.

  • Solution: Implémentation de FileAudit.

  • Résultats: Tous les accès aux fichiers de données personnelles sont maintenant audités, historisés et exportés sous forme de rapports et archivés.

La problématique Obligation légale de traçabilité des accès effectués sur des données personnelles selon la loi « Informatique et libertés »

Une association tutélaire est une association de protection juridique des majeurs, habilitée pour assurer les fonctions de curateur ou de tuteur d'une personne placée sous curatelle, tutelle ou protection juridique par le Juge des Tutelles. De par sa fonction même, l’association tutélaire gère donc toutes les données personnelles des individus dont elle a la charge : numéro de sécurité sociale, adresse, coordonnées bancaires, mais aussi religion/croyance, préférences politiques, et autres informations à caractère hautement personnel et confidentiel. En effet une mise sous tutelle ou curatelle signifie une implication profonde des curateurs et tuteurs dans la vie privée et professionnelle des majeurs concernés.

L’Association tutélaire des Vosges, composée de 49 salariés basés à Epinal, s’occupe de plus de 1500 personnes majeures protégées. Il y a peu de documents papier en circulation, l’administration de l’association est numérisée et tous les fichiers sont scannés dès leur arrivée. A raison de 17 500 fichiers scannés par mois la base de données de l’association augmente à vue d’œil, totalisant à ce jour 1 100 000 fichiers scannés comprenant des données sensibles et personnelles.

La loi «informatique et libertés», et particulièrement la partie sur la protection des données personnelles, impose aux organismes mettant en œuvre des traitements ou disposant de fichiers de données d’en garantir la sécurité. Tout organisme gérant des données personnelles a donc pour obligation légale de mettre en place des dispositifs pour sécuriser ces données et tout accès qui peut y être effectué.

Additionnellement, il est demandé de pouvoir tracer et historiser qui a effectué l’accès et ce qui a été fait.

Afin d’être en mesure d’identifier a posteriori un accès frauduleux à des données personnelles, une utilisation abusive de telles données, ou de déterminer l’origine d’un incident, il convient d’enregistrer les actions effectuées sur le système informatique. Pour ce faire, le responsable d’un système informatique doit mettre en place un dispositif [qui] doit enregistrer les évènements pertinents, garantir que ces enregistrements ne peuvent être altérés, et dans tous les cas conserver ces éléments.

Guide de la sécurité des données personnelles
Commission Nationale de l'Informatique et des Libertés (CNIL)

« Prévoir un système de journalisation (c’est-à-dire un enregistrement dans des «fichiers de logs») des activités des utilisateurs, des anomalies et des événements liés à la sécurité. […] Dans certains cas, il peut être nécessaire de conserver également le détail des actions effectuées par l’utilisateur, telles que les données consultées par exemple. » (Cf. Guide de la sécurité des données personnelles de la CNIL)

Si ces directives ne sont pas suivies l’organisme risque une non-conformité légale et des sanctions (avertissement, mise en demeure, sanctions pécuniaires, injonction de cesser le traitement) en cas de contrôle.

En tant que responsable informatique et Sécurité à l’Association tutélaire des Vosges, et d’autant plus en tant que correspondant « Informatique et libertés » à la CNIL, Sébastien Cornuau est chargé d'assurer l'application des dispositions de la loi à l'intérieur de l'organisme. Afin d’être conforme aux lois, il s’est donc mis à la recherche d’une solution pour pouvoir tracer et historiser les accès aux données détenues par l’Association.

La solution L’audit et la journalisation immédiate des accès aux données sensibles

Après une demande à son fournisseur informatique (EUREKA sis St Dié des Vosges) Mr Cornuau a rapidement découvert la solution d’audit de fichiers et répertoires FileAudit, éditée par la société française IS Decisions. Il s’est lui-même chargé de la tester. L’utilisation et la prise en main ont été très rapides, et comme le logiciel correspondait à la demande précise qu’avait l’Association de tracer et sauvegarder les logs, Mr Cornuau n’a pas éprouvé le besoin de tester d’autres solutions. Son choix s’est immédiatement porté sur FileAudit.

Il n’y a pas beaucoup de solutions qui font ça. En plus c’est un logiciel en français, et d’une société française, et ça c’est toujours un plus.

Sébastien CORNUAU
Responsable Informatique, Logistique & Sécurité

L’acquisition du logiciel se fait alors rapidement, tout comme son implémentation au sein de l’Association tutélaire des Vosges en 2012. L’installation initiale étant très rapide, Mr Cornuau a pu immédiatement commencer à surveiller et sécuriser les données dont il a la charge.

A ce jour un des deux serveurs de données de l’Association est audité, ce qui représente un peu moins de la moitié d’une totalité de 1 300 000 fichiers. Il est très fortement envisagé d’implémenter également FileAudit sur le second serveur.

Avant FileAudit on ne faisait pas vraiment de reporting sur les fichiers, c’est quasiment impossible avec l’audit Windows qui est inbuvable.

Sébastien CORNUAU
Responsable Informatique, Logistique & Sécurité

Les avantages Traçabilité des accès en cas d'incident

L’installation de FileAudit au sein de l’Association tutélaire des Vosges était principalement prévisionnelle : la loi exigeant une sécurisation des données et une trace des accès effectués, il s’avérait donc nécessaire de remédier à ce manque.

C’est la fonctionnalité de reporting du logiciel qui est la plus utilisée. Celle-ci permet d’obtenir à la demande ou de façon planifiée des rapports d’activités et d’accès sur les données auditées, facilement archivables - toujours selon les obligations légales.

Par la suite l’utilisation de FileAudit a aussi apporté des avantages supplémentaires. Plus précisément, le logiciel permet de savoir qui a ouvert et modifié un document. En effet en cas de problèmes ou de litiges sur un document précis, il est important de pouvoir retrouver qui en a effectué les modifications. L’association a rencontré quelques problématiques de ce genre, et FileAudit permet maintenant de mieux comprendre et de résoudre ces situations.

Comme le souligne Mr Cornuau « 99% erreur et 1% malveillance », la plupart des incidents de ce genre sont dus à des erreurs ; on a rarement à faire à des actes prémédités et réfléchis. Cela dit, l’Association a bel et bien eu par le passé des problèmes avec un employé malveillant. Cette personne modifiait des documents Word, imprimait le document modifié mais ne sauvegardait pas le document ensuite ; il n’y avait donc pas de traces des changements effectués et du document frauduleux imprimé et utilisé. FileAudit comble maintenant cette faille de sécurité : il est possible d’identifier qui a ouvert un document, même sans enregistrer de modification.

On aurait pu savoir si on avait eu FileAudit à l’époque que cette personne avait accédé aux fichiers. Sans ça il s’agit malheureusement d’une manipulation complètement invisible et facile à faire.

Sébastien CORNUAU
Responsable Informatique, Logistique & Sécurité

En tant que correspondant informatique auprès de la CNIL Mr Cornuau se fait donc l’avocat de FileAudit, ceci afin d’aider d’autres organismes à sécuriser les données qu’ils hébergent, et surtout d’être conforme aux lois en vigueur.

Version d'essai de 20 jours

Obtenez votre version d'évaluation gratuite de 20 jours et sécurisez votre réseau Windows avec FileAudit

Essai gratuit Découvrir FileAudit

Plus de témoignages?

Lisez d'autres avis de nos clients FileAudit.

Découvrir