Par Stéphane Astier et Anne-Charlotte Andrieux
L’ensemble des observateurs et spécialistes du monde cyber constatent que la crise sanitaire actuelle s’accompagne d’une explosion de cyber-menaces.
D’après le dernier rapport de l’Agence européenne de cyber sécurité (ENISA) sorti en octobre, cette recrudescence s’expliquerait notamment par la transformation rapide de l’environnement professionnel lié à la généralisation du télétravail et à l’intégration en marche forcée de nouveaux outils de travail dédiés au distanciel. D’après le Data Breach Investigations Report 2020[1], 70% des compromissions seraient ainsi l’œuvre d’acteurs externes et 1 compromission sur 5 serait la conséquence d’une erreur humaine.
Nombre d’entreprises ayant dû opter, parfois dans l’urgence, pour le télétravail, force est de constater que les attaques ont proliféré à la faveur d’une décentralisation des systèmes informatiques induisant de nouvelles vulnérabilités des SI.
Un travail de recensement des données et des accès semble plus que jamais d’actualité pour permettre aux entreprises de conserver la pleine maîtrise de leur SI. Ce travail passera inévitablement par un contrôle assidu des mesures d'habilitations.
En ce début 2021, la formalisation, le contrôle et la consolidation des politiques de gestion des habilitations constituent des mesures clé pour aider les DSI dans cette démarche de sécurisation globale. Il s'agit en outre d'une mesure essentielle de conformité vis à vis du Règlement Général Européen pour la Protection des Données (RGPD) qui impose à chaque responsable de traitement de justifier des mesures organisationnelles et techniques destinés à assurer la sécurité et la confidentialité des données.
1. Qu’est-ce qu’une politique de gestion des habilitations ?
La politique de gestion des habilitations est une mesure organisationnelle interne faisant partie intégrante du référentiel sécurité des entreprises.
Elle a vocation à encadrer les accès aux SI :
- Par les acteurs internes de l’entreprise: salariés, contractuels, intérimaires, consultants ou stagiaire
- Par les acteurs externes amenés à intervenir sur le SI : prestataires informatiques, auditeurs, etc.
L’élaboration de cette documentation permet :
- En amont : de recenser les accès ouverts pour chaque catégorie d’acteur et d’effectuer un état des lieux des éventuelles habilitations illégitimes
- De définir des ensembles de ressources pour lesquels différents niveaux d’habilitation s’imposent
- De définir des décideurs aux habilitations : DSI, directeurs, responsables de service, etc.
- De définir des profils d’habilitation par service ou par type de poste et des habilitations unitaires lorsque cela est pertinent
- D’informer les acteurs sur l’étendues de leurs droits afin de préserver la responsabilité de l’entreprise
Cette documentation répond à plusieurs impératifs identifiés par la CNIL et mis à la charge des responsables de traitement. L’obligation de définir des niveaux d’habilitation est un corollaire du principe de minimisation résultant de l’article 5.1.c du RGPD lequel impose de limiter les activités de traitement aux données strictement nécessaires au regard des finalités poursuivies. La Commission en déduit que l’accès des utilisateurs (internes ou externes) doit être limité aux seules données strictement nécessaires à l’accomplissement de leurs missions.
A titre de précautions élémentaires il est conseillé de définir des profils d’habilitation et de réaliser une revue annuelle des habilitations afin de réaligner les droits accordés sur les fonctions de chaque utilisateur.
Pour documenter cette conformité la CNIL conseille d’établir et de réexaminer régulièrement une politique de contrôle des habilitations devant inclure :
|
2. Les risques liés à la gestion des habilitations
Des défaillances dans la gestion des habilitations peuvent induire de véritables vulnérabilités pour le SI. Différentes hypothèses sont envisageables:
- Méconnaissance du périmètre effectif des habilitations pouvant conduire à des attributions d’habilitation dépassant le périmètre souhaité
- Attribution d’une habilitation à la mauvaise personne ou sur la base d’une qualité fausse et non vérifiée
- Absence de mise à jour des habilitations entrainant un maintien d’habilitation injustifié (p.ex. lors d’un changement de poste ou d’un départ)
- Attribution à un même acteur d’habilitations incompatibles
Ces vulnérabilités sont susceptibles d’induire des incidents de sécurité et des violations de données au sens de l’article 4.12 du RGPD et de contraindre le responsable de traitement à notifier l’autorité de contrôle, l’exposant ainsi à de lourdes sanctions.
Sans même qu’il soit besoin d’envisager l’hypothèse d’un acte malveillant, ces différents scenarii sont susceptibles de constituer une violation affectant l’intégrité ou la sécurité des données :
- consultation de données par une personne qui ne devrait pas y être autorisée
- modification ou suppression de données par une personne qui ne devrait pas être autorisée à y accéder
- déclenchement de processus de contrôle du SI par une personne qui ne devrait pas y être autorisée (arrêt de composants du système, installation de logiciels malveillants ou non)
3. Les prérequis à la gestion des habilitations
Pour que les habilitations puissent être définies et traduites en autorisations d’accès pour chaque utilisateur du SI, certaines fonctions doivent au préalable être mises en œuvre :
- l’enregistrement et d’identification des acteurs
- l’authentification des acteurs
- un inventaire des ressources (données, traitements informatiques outils…) qui doivent faire l’objet d’un contrôle d’accès
- le modèle retenu pour l’organisation et l’attribution des habilitations doit être déterminé (profils d’habilitation, habilitations unitaires).
4. Définir sa politique d’authentification
L’habilitation des utilisateurs des systèmes d’informations repose sur une politique d’authentification établie par l’entreprise. Cette authentification permet d’identifier l’utilisateur qui se connecte au SI et est un prérequis indispensable à la bonne gestion des habilitations.
Pour des raisons évidentes de traçabilité, toute personne doit être identifiée et authentifiée de manière sécurisée et certaine avant qu’elle ne puisse agir sur le SI (consultation, modification, téléchargement, suppression…).
Compte tenu des informations accessibles sur ses systèmes d’information, il relève de la responsabilité du responsable de traitement de mettre en place une authentification sécurisée et en cohérence avec le niveau des droits attribués à chaque utilisateur.
D’une manière générale la règle doit être la suivante : plus l’utilisateur aura un niveau étendu d’accès à des informations confidentielles, plus son niveau d’authentification devra être fort.
Afin de déterminer une politique d’authentification rigoureuse il est notamment nécessaire se référer aux recommandations formulées par la CNIL dans sa délibération n° 2017-012 du 19 janvier 2017. La taille et la complexité du mot de passe doivent varier en fonction des mesures complémentaires mises en place pour fiabiliser le processus d’authentification.
Ainsi, le mot de passe doit :
- Etre individuel, secret et difficile à déchiffrer
- Etre renouvelé régulièrement et en moyenne tous les trois (3) mois en s’assurant que le nouveau mot de passe soit différent des trois précédents
- Etre attribué par l’administrateur du système mais immédiatement modifié par l’utilisateur dès la première connexion
- Etre conforme aux recommandations de la CNIL en la matière.
Si l’authentification est basée exclusivement sur un mot de passe, cela implique a minima l’utilisation d’un mot de passe complexe d’au moins 12 caractères composé de majuscules, de minuscules, de chiffres et de caractère spéciaux.
Si l’authentification comprend des mesures complémentaires (p.ex. blocage des tentatives multiples, capcha, etc) le mot de passe doit contenir au moins 8 caractères et au moins 3 des 4 catégories de caractères.
***
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients dans leur démarche de conformité au RGPD. Que ce soit en appui du DPO ou en qualité de DPO externalisé le Cabinet Haas réalise ainsi tout type de mission en lien avec la protection de la vie privée avec deux départements spécialisés sur ces questions : le département Protection des données et le département cyber sécurité. Contactez-nous ici
[1]Source : Verizon, Rapport d’enquête 2020 sur les compromissions de données (DBIR)