6 règles de la gestion des identités et des accès

6 règles de la gestion des identités et des accès

Le 13 décembre, le centre pour la cybersécurité Belgique (CCB) a utilisé l’E-box de toutes les entreprises du pays pour les sensibiliser à leur rôle dans le cadre de la protection de leurs données.

La communication recommande le recours à l’authentification à 2 facteurs.

Qu’est-ce que c’est ?

Ce type de mécanisme s’inscrit plus généralement dans une politique de gestion des identités et des accès souvent connus sous l’acronyme anglophone d’I.A.M. (Identity and Access Management).

Je ne reviendrai pas sur les conseils prodigués, mais ne puis que vous suggérer de vous intéresser aux outils que mettent à votre disposition votre ou vos fournisseurs de services informatiques.

Moitié de visage de femme avec des algorithmes superposés

En général, ces solutions offrent la possibilité de valider une connexion à travers une notification sur un Smartphone ou une autre adresse courriel.

En ce qui concerne les smartphones, il faut installer une application comme Google Authenticator ou Microsoft Authenticator, par exemple. Il est également préférable de ne pas favoriser les connexions automatiques.

L’exemple type concerne un PC portable ou une tablette, deux appareils destinés à un usage en déplacement et donc susceptibles d’être volés, ce qui constitue un incident de sécurité à documenter et une potentielle violation de données.

Les principaux réseaux sociaux permettent dorénavant la mise en place de ces mesures. Il peut être utile d’éviter que la page FB de votre entreprise se fasse pirater. Outre l’impact potentiel sur la réputation de l’entreprise concernée, la jurisprudence considère que l’entreprise qui gère la page et le réseau social en question sont conjointement responsables du traitement des données.

Il convient également d’inclure cette procédure dans la Charte informatique de l’ALE afin d’éviter toute contestation plus tard et de pouvoir démontrer que l’entreprise s’est préoccupée de la problématique.

Et, bien entendu, il faut en expliquer les enjeux aux personnes qui y auront recours.

Notons que ces mécanismes peuvent permettre de tracer les connexions (et tentatives) effectuées sur les comptes qui y sont associés.

L’application de ces mécanismes aux accès aux données contenues sur le disque dur ou sur le Cloud, mais aussi au compte de messagerie et de façon plus globale à tous les supports susceptibles de contenir des données personnelles est intéressante.

Il n’y a pas que le rap dans la vie.

L’I.A.M. est un domaine vaste qui ne se limite pas à la sécurisation d’un ordinateur, mais également à la gestion de l’accès aux ressources.

Et donc, l’analyse ne serait pas complète sans une réflexion sur les droits d’accès des personnes.

Un homme désespéré avec une carte bancaire en main

Les administrateurs ont-ils besoin d’avoir accès à toute la base de données de l’ALE ? Quelles mesures sont prises pour éviter que la personne chargée de l’entretien des bureaux ne puisse accéder, même involontairement, aux données personnelles des prestataires ou des clients ? Que deviennent les accès d’une personne qui quitte l’ALE ? Si on lui a permis de traiter les données sur ses propres outils, que se passe-t-il lorsqu’elle s’en va ? Etc.

Ces questions ne sont pas de pures formes et les réponses mériteraient d’être conservées pour justifier de la politique de conformité de l’ALE.

Un conseil : Il vaut mieux partir de la règle « tous les accès sont interdits sauf lorsqu’ils sont expressément autorisés » plutôt que « tous les accès sont permis, sauf lorsque c’est spécifiquement interdit ».

Politique des mots de passe

Cet article est également l’occasion de rappeler qu’il est important d’élaborer des mots de passe sécurisés.

 Actuellement, il est conseillé d’utiliser des mots de passe de douze caractères minimum mélangeant majuscule et minuscule ainsi que des caractères spéciaux. Évidemment, le(s) mot(s) de passe professionnel(s) doivent être différents de celui utilisé à titre privé.

Il convient aussi de le renouveler régulièrement et bien entendu d’éviter de l’afficher ou de le faire connaitre à d’autres (même, ou plutôt surtout, à ChatGPT et à ses amis).

Et le bureau ?

L’accès aux données passe aussi par la sécurisation physique des locaux.

Des volets, des armoires qui ferment, peut-être un système d’alarme sont des moyens de protection efficaces à envisager si on ne les a pas déjà installés.

Eventuellement un système de badge permet de confirmer ou d’infirmer la présence de personnes dans les zones sensibles (au hasard : le local du serveur).

Evitez cependant les solutions biométriques qui entrainent la captation de données sensibles et des contraintes supplémentaires.

Tout dépend de la situation de votre ALE et des moyens dont elle dispose.

Responsabilité de l’ALE

L’article 24 du RGPD impose au responsable de traitement de réfléchir aux moyens appropriés à mettre en œuvre pour sécuriser les données personnelles dont il a la responsabilité.  

La mise en place d’une politique de sécurité des données est donc bien du ressort de l’ALE.

N’oubliez pas de la soumettre à l’avis de votre DPO (comme du reste les autres documents ici suggérés) et de la joindre à votre registre de traitement.

La mise en place pratique des solutions n’est pas censée être difficile, mais au besoin l’aide d’un informaticien ou le service après-vente de votre fournisseur de services peut aussi vous aider.

En conclusion

Vous l’aurez compris, la gestion des accès est sans doute le sujet le plus sensible de la protection des données d’une entreprise.

Les solutions de traitement de données actuelles sont confortables et permettent une délocalisation quasiment complète des activités administratives.

En outre, il est probable que, peu importe où vous ou vos collaborateurs travaillez, que ce soit au bureau ou à distance, le serveur stocke les données, qu’il soit hébergé dans le cloud (en mode SaaS) ou localement, ou encore sur le disque dur de votre ordinateur. Il y a donc forcément une porte d’entrée à ces dernières qu’il convient de sécuriser.

L’identification à deux facteurs (2FA) est un moyen rapide à implémenter et généralement gratuit (il existe des solutions plus complètes, mais ne présentant pas un grand intérêt pour une ALE seule).

Enfin, n’oubliez pas de documenter la décision dans un registre de traitement. On aurait tout de même tort de faire son travail, mais de ne pas pouvoir le démontrer à un service d’inspection.

6 points d’attention

Authentifier et contrôler les accès

  STANDARD

  RENFORCE

 Identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur/administrateur

 L’utilisation de comptes génériques (ex : admin, user) doit être marginale et ceux-ci doivent pouvoir être rattachés à un nombre limité de personnes physiques.

Dès que possible la journalisation liée aux comptes (ex : relevé des connexions
réussies/échouées) doit être activée

Attribuer les bons droits sur les ressources sensibles du système d’information

Certaines des ressources du système peuvent constituer une source d’information
précieuse aux yeux d’un attaquant (répertoires contenant des données
sensibles, bases de données, boîtes aux lettres électroniques, etc.).

Il est donc primordial d’établir une liste précise de ces ressources et pour chacune d’entre elles :
de définir quelle population peut y avoir accès ;
de contrôler strictement son accès, en s’assurant que les utilisateurs sont authentifiés et font partie de la population ciblée ;
d’éviter sa dispersion et sa duplication à des endroits non maîtrisés ou soumis à un contrôle d’accès moins strict.

 

 Définir et vérifier des règles de choix et de dimensionnement des mots de passe

Il existe un ensemble de règles et de bonnes pratiques en matière de choix et de dimensionnement des mots de passe (voir supra).

 Protéger les mots de passe stockés sur les systèmes

La complexité, la diversité ou encore l’utilisation peu fréquente de certains mots de passe, peuvent encourager leur stockage sur un support physique
(mémo, post-it) ou numérique (fichiers de mots de passe, envoi par mail à soi-même, recours aux boutons « Se souvenir du mot de passe ») afin de pallier tout oubli ou perte.
Or, les mots de passe sont une cible privilégiée par les attaquants désireux d’accéder au système, que cela fasse suite à un vol ou à un éventuel partage du support de stockage. C’est pourquoi ils doivent impérativement être protégés au moyen de solutions sécurisées au premier rang desquelles figurent l’utilisation d’un coffre-fort numérique et le recours à des mécanismes de chiffrement.

 

 Changer les éléments d’authentification par défaut sur les équipements et services

Il est impératif de partir du principe que les configurations par défaut des systèmes d’information sont systématiquement connues des attaquants, quand bien même celles-ci ne le sont pas du grand public.

 Afin de limiter les conséquences d’une compromission, il est par ailleurs essentiel, après changement des éléments d’authentification par défaut, de procéder à leur renouvellement régulier.

 Privilégier lorsque c’est possible une authentification forte

Il est vivement recommandé de mettre en œuvre une authentification forte nécessitant l’utilisation de deux facteurs d’authentification différents parmi
les suivants :
quelque chose que je sais (mot de passe, tracé de déverrouillage, signature) ;
quelque chose que je possède (carte à puce, jeton USB, carte magnétique, RFID, un téléphone pour recevoir un code SMS).