Par Stéphane Astier et Anne-Charlotte Andrieux
L’ensemble des observateurs et spécialistes du monde cyber constatent que la crise sanitaire actuelle s’accompagne d’une explosion de cyber-menaces.
D’après le dernier rapport de l’Agence européenne de cyber sécurité (ENISA) sorti en octobre, cette recrudescence s’expliquerait notamment par la transformation rapide de l’environnement professionnel lié à la généralisation du télétravail et à l’intégration en marche forcée de nouveaux outils de travail dédiés au distanciel. D’après le Data Breach Investigations Report 2020[1], 70% des compromissions seraient ainsi l’œuvre d’acteurs externes et 1 compromission sur 5 serait la conséquence d’une erreur humaine.
Nombre d’entreprises ayant dû opter, parfois dans l’urgence, pour le télétravail, force est de constater que les attaques ont proliféré à la faveur d’une décentralisation des systèmes informatiques induisant de nouvelles vulnérabilités des SI.
Un travail de recensement des données et des accès semble plus que jamais d’actualité pour permettre aux entreprises de conserver la pleine maîtrise de leur SI. Ce travail passera inévitablement par un contrôle assidu des mesures d'habilitations.
En ce début 2021, la formalisation, le contrôle et la consolidation des politiques de gestion des habilitations constituent des mesures clé pour aider les DSI dans cette démarche de sécurisation globale. Il s'agit en outre d'une mesure essentielle de conformité vis à vis du Règlement Général Européen pour la Protection des Données (RGPD) qui impose à chaque responsable de traitement de justifier des mesures organisationnelles et techniques destinés à assurer la sécurité et la confidentialité des données.
La politique de gestion des habilitations est une mesure organisationnelle interne faisant partie intégrante du référentiel sécurité des entreprises.
Elle a vocation à encadrer les accès aux SI :
L’élaboration de cette documentation permet :
Cette documentation répond à plusieurs impératifs identifiés par la CNIL et mis à la charge des responsables de traitement. L’obligation de définir des niveaux d’habilitation est un corollaire du principe de minimisation résultant de l’article 5.1.c du RGPD lequel impose de limiter les activités de traitement aux données strictement nécessaires au regard des finalités poursuivies. La Commission en déduit que l’accès des utilisateurs (internes ou externes) doit être limité aux seules données strictement nécessaires à l’accomplissement de leurs missions.
A titre de précautions élémentaires il est conseillé de définir des profils d’habilitation et de réaliser une revue annuelle des habilitations afin de réaligner les droits accordés sur les fonctions de chaque utilisateur.
|
Pour documenter cette conformité la CNIL conseille d’établir et de réexaminer régulièrement une politique de contrôle des habilitations devant inclure :
|
Des défaillances dans la gestion des habilitations peuvent induire de véritables vulnérabilités pour le SI. Différentes hypothèses sont envisageables:
Ces vulnérabilités sont susceptibles d’induire des incidents de sécurité et des violations de données au sens de l’article 4.12 du RGPD et de contraindre le responsable de traitement à notifier l’autorité de contrôle, l’exposant ainsi à de lourdes sanctions.
Sans même qu’il soit besoin d’envisager l’hypothèse d’un acte malveillant, ces différents scenarii sont susceptibles de constituer une violation affectant l’intégrité ou la sécurité des données :
Pour que les habilitations puissent être définies et traduites en autorisations d’accès pour chaque utilisateur du SI, certaines fonctions doivent au préalable être mises en œuvre :
L’habilitation des utilisateurs des systèmes d’informations repose sur une politique d’authentification établie par l’entreprise. Cette authentification permet d’identifier l’utilisateur qui se connecte au SI et est un prérequis indispensable à la bonne gestion des habilitations.
Pour des raisons évidentes de traçabilité, toute personne doit être identifiée et authentifiée de manière sécurisée et certaine avant qu’elle ne puisse agir sur le SI (consultation, modification, téléchargement, suppression…).
Compte tenu des informations accessibles sur ses systèmes d’information, il relève de la responsabilité du responsable de traitement de mettre en place une authentification sécurisée et en cohérence avec le niveau des droits attribués à chaque utilisateur.
D’une manière générale la règle doit être la suivante : plus l’utilisateur aura un niveau étendu d’accès à des informations confidentielles, plus son niveau d’authentification devra être fort.
Afin de déterminer une politique d’authentification rigoureuse il est notamment nécessaire se référer aux recommandations formulées par la CNIL dans sa délibération n° 2017-012 du 19 janvier 2017. La taille et la complexité du mot de passe doivent varier en fonction des mesures complémentaires mises en place pour fiabiliser le processus d’authentification.
Ainsi, le mot de passe doit :
Si l’authentification est basée exclusivement sur un mot de passe, cela implique a minima l’utilisation d’un mot de passe complexe d’au moins 12 caractères composé de majuscules, de minuscules, de chiffres et de caractère spéciaux.
Si l’authentification comprend des mesures complémentaires (p.ex. blocage des tentatives multiples, capcha, etc) le mot de passe doit contenir au moins 8 caractères et au moins 3 des 4 catégories de caractères.
***
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients dans leur démarche de conformité au RGPD. Que ce soit en appui du DPO ou en qualité de DPO externalisé le Cabinet Haas réalise ainsi tout type de mission en lien avec la protection de la vie privée avec deux départements spécialisés sur ces questions : le département Protection des données et le département cyber sécurité. Contactez-nous ici
[1]Source : Verizon, Rapport d’enquête 2020 sur les compromissions de données (DBIR)