[Exclusif] Voté en avril 2016, le RGPD (Règlement Général pour la Protection des Données Personnelles) entrera en vigueur dans quelques mois. Toutes les entreprises privées ainsi que les institutions publiques traitant des données personnelles sont donc tenues de se mettre en conformité d’ici le 25 mai 2018.
Le RGPD veut faire de l’Europe le sanctuaire de la protection des données personnelles. Pour atteindre cet objectif aujourd’hui, les entreprises doivent mettre la sécurité au coeur de leur structure, aborder une meilleure gestion du risque aussi bien dans le traitement des données personnelles de leurs clients et du grand public que dans leur gouvernance. Comment ? En remodelant la gestion des droits d’accès aux données et en optimisant les processus de l’entreprise.
Trois raisons d’intégrer la gestion des droits d’accès au plan de sécurité informatique
• Droits d’accès : une porte d’entrée restée ouverte
La gestion des identités reste une tâche périlleuse pour les entreprises, car assez technique et exclusivement réservée au service informatique. Or, ceux qui autorisent les accès n’ont pas la vision métier de ceux qui les utilisent : les entreprises ont donc tout intérêt à réviser cette organisation et à adopter un modèle plus impliquant. Lorsqu’un salarié demande des droits d’accès, il y a quelques questions fondamentales à se poser : à quoi a-t’il accès en l’état, à quelle organisation appartient-il et doit-il réellement disposer de ce droit d’accès ? Interroger ses capacités techniques et fonctionnelles permettra également de documenter et d’amplifier la vision globale des droits d’accès au personnel décisionnel, et donc d’améliorer la gestion des risques pour mieux réduire les écarts réglementaires.
• La cible de cyberattaques
Cette gestion est d’autant plus perfectible dans un contexte où la transformation digitale est de plus en plus sophistiquée : la prolifération des devices a conduit à un amoindrissement du contrôle exercé par mes entreprises sur une action devenue systématique. Un outillage non adapté appelle, en outre, à une gestion manuelle et chronophage, donc vulnérable : de quoi faire d’une entreprise une cible parfaite pour les hackers qui cherchent à abuser des systèmes informatiques via l’usurpation des droits d’accès ou d’une identité. Or, combien de collaborateurs ont accès aux finances de l’entreprise, parfois même après leur départ ?
• Des droits abusifs mettent l’entreprise en danger
Aujourd’hui, les entreprises font appel à des solutions qui gèrent les accès mais qui ne traitent pas les gisements de données personnelles car elle se fondent sur des rôles et ne s’adaptent pas à la nature sensible de ce type de données. Néanmoins, ajouter des capacités techniques et fonctionnelles permet d’amplifier une vision des droits d’accès pour mieux muscler son plan de sécurité des données internes et réduire les écarts réglementaires : le RGPD est avant tout organisationnelle et légale avant d’être technique. Les directions doivent donc repenser la politique d’accès aux données de l’entreprise, et segmenter cette gestion qui doit être confiée à des directeurs ayant le pouvoir de véritablement gérer ces droits d’accès.
Amplifier la vision des droits d’accès pour reprendre le contrôle de la sécurité
Le RGPD demande aux entreprises d’établir des principes de sécurité : elles doivent protéger l’ensemble de leurs données dès la conception de leur système, et ce, par défaut. Avec ce texte, l’Union européenne replace les entreprises au coeur de ce règlement : celles-ci doivent prendre le contrôle de leur système informatique. Toutefois, elles sont nombreuses à rencontrer des difficultés à appliquer cette réglementation. Le premier pas, pour elles, est de nommer un responsable et de lui allouer suffisamment de ressources et d’indépendance pour lui permettre d’être le garant de la protection des données au sein de l’entreprise.
Celui-ci sera alors en charge de :
• Surveiller les groupes et les répertoires avec une politique de sécurité qui muscle le contrôle des données ;
• Réduire les droits d’accès avec un principe « a minima », c’est-à-dire maintenir le principe du moindre privilège. S’il n’est pas réellement nécessaire, le droit d’accès ne doit pas être autorisé ;
• Gérer les autorisations et les révoquer en cas de départ ou de mutation des utilisateurs.
Si le RGPD est l’affaire de toutes les entreprises, la cybersécurité l’est également. Pour leur propre bien, les entreprises doivent cartographier la gestion de leurs droits d’accès. Et si l’Europe est très pointue sur la question, d’autres pays – pourtant concernés – en sont loin. Aux Etats-Unis, 65 % des entreprises ayant des vocations à l’international, notamment sur le territoire européen, ne savent pas ce qu’est le RGPD. Un chiffre saisissant dans un contexte où, face à la multiplication des ransomwares qui n’épargnent aucun pays, la cybersécurité est devenue une problématique d’envergure mondiale. Peut-être serait-il intéressant, à l’avenir, de voir plus loin en homogénéisant complètement la sécurité informatique via une réglementation mondiale ?