Protections identité et données

Owned by Xavier Delligne
oct. 23, 2024
4 min read

Tous

La fragilité d’une organisation est liée à chacune de ses composantes internes et à ses partenaires externes. Éditer des règles, établir des consignes à suivre et en vérifier les pratiques sont des principes qui s’imposent lorsque des privilèges sont accordés.

Protéger son identité et les données de l’entreprise

 

"Des données sensibles compromises en Suède !
Une importante masse de données appartenant à l’agence publique des transports suédoise, la Transportstyrelsen, ont été rendues accessibles à des personnes non habilitées à les consulter, notamment des employés de sous-traitants d’IBM en Europe de l’Est.
Ces fichiers contiennent des informations très sensibles, comme les noms, les photos, les adresses des citoyens, dont certains appartiennent à la police, à des unités secrètes de l’armée ou encore des témoins
sous protection.
Cette agence des transports avait décidé de sous-traiter la maintenance informatique de ses bases de données et réseaux à IBM. Les données sensibles ont été rendues accessibles à des personnes n’ayant jamais été habilitées à les manipuler, et vivant dans des pays étrangers."

Le Monde, 25.07.2017

 

Pourquoi la protection d’identité et de données ?

Les entreprises semblent trop laxistes dans la gestion des accès donnés aux personnes et dans le suivi des bonnes pratiques de « sécurité ». Un accès au système d'information d’une entreprise ne se ‘brade’ pas. Son usage doit se faire avec des conditions de sécurité bien établies, bien comprises et ... normalement bien contrôlées. Les différents acteurs (utilisateurs, gestionnaires, responsables) doivent développer des attitudes et aptitudes professionnelles de manière à respecter la politique de sécurité du système d'information de l’organisation.

Les raisons pour accorder des accès au SI d’une organisation comme l’université sont très nombreuses et variées :

  • Visiteurs, consultants, sous-traitants, collaborateurs, partenaires, etc.

  • Gestionnaires techniques des infrastructures (chauffage, électricité, réseau informatique, locaux, etc.)

  • Gestionnaires des activités métiers comme la paie, la comptabilité, le ‘reporting’, etc.

  • Pour encadrer le travail des divers partenaires ou prestataires externes (Qui est où ? Quand ? Qui fait quoi ? Avec quoi ? Comment ?), une politique spécifique de prévention doit être mise en place :

 

Quels sont les risques ?

Les risques encourus par une organisation sont directement proportionnels au nombre d’intervenants et au nombre d’applications en service. Le danger s’accroit aussi en fonction des multiples dépendances inhérentes à l’organisation et à son système d'information. Les conséquences de l’exploitation de failles de sécurité sont très variables selon l’impact sur l’activité de l’entreprise, ses données sensibles et en général ses actifs. Ajoutons aussi une responsabilité accrue lorsque l’incident touche des données d'un tiers.

Faire une confiance aveugle aux acteurs sans mettre un cadre ou un contrôle peut mener à des désastres. Les mauvaises pratiques sont malheureusement trop courantes : laisser des connexions actives, transporter de manière hasardeuse des fichiers professionnels, communiquer des identifiants et mots de passe, installer trop rapidement des solutions techniques, laisser des ouvertures, etc.

Comme l'ont souligné les responsables interrogés dans l'enquête citée dans le récit, une attitude trop laxiste et un manque de vigilance des acteurs (souvent pour gagner en productivité), peuvent ouvrir des brèches menant tôt au tard à des dysfonctionnements. Il s’agit pourtant de garder la maîtrise des dispositifs en application !

En effet, quelle garantie a-t-on que les consultants utilisent leurs accès exclusivement pour l'usage initialement prévu ? Quelle garantie a-t-on que cet accès n’a pas été utilisé abusivement par un consultant lors d'une connexion à un wifi public non sécurisé ?

Nous savons, en effet, que les consultants voyagent beaucoup et qu’ils travaillent sur plusieurs projets à la fois et pour différents clients.

Et, d'autre part, on peut se poser la question de ce que le service informatique a fait pour :

  • Limiter les actions du consultant en adoptant des mécanismes d'accès plus granulaires aux systèmes et applications concernés par le travail demandé ?

  • Mettre en place des mesures de protection et des garde-fous ?

  • Surveiller de manière régulière l'utilisation des accès octroyés ?

 

Que faire pour se protéger ?

Des audits internes et externes établis selon des règles connues permettront d’identifier les éléments de l’organisation qui sont fragiles, défaillants ou non conformes à des normes élémentaires. Cela touche à la fois aux aspects techniques, aux éléments de configuration d’environnements (matériel et logiciel) et de l’organisation (rôles, privilèges, droits d’accès, etc.) ainsi qu'aux bonnes pratiques.

Pour aider dans ces processus, il est indispensable de :

  • Constituer en permanence des tableaux et des journaux de bord

  • Surveiller les canaux d’information et de communication

  • Installer des garde-fous, des processus de validation et de contrôle

  • Penser aussi à la méthode des « quatre yeux » dans les approbations, à la relecture croisée des codes informatiques et au respect de normes élémentaires de qualité

 

Que faire pour réparer les dégâts ?

Quand le mal est fait, il est généralement trop tard... il s’agit de colmater les brèches au plus vite et de prendre les mesures pour repartir dans des conditions acceptables.

C’est aussi le moment de se poser des questions et de prendre de nouvelles dispositions.

Il s’agit aussi d’assurer une meilleure sensibilisation et formation des acteurs et d’imposer une méthodologie opérationnelle plus stricte.