L’enjeu des comptes à privilèges
Les données personnelles sont des données particulièrement sensibles, qui ne doivent pas être manipulées ou vues par une personne non habilitée à le faire. Les accès aux données comme l’adresse, la localisation, l’opinion politique ou la croyance d’un utilisateur doivent être limitées, contrôlées et tracées.
Pour cela, il devient indispensable de contrôler les droits d’accès de chacun et de faire la chasse aux comptes à privilèges trop souvent associés sans raisons légitimes aux postes à responsabilités dans l’entreprise.
Les comptes des personnes du “top management” (DG, DAF, DRH) sont à surveiller tout particulièrement, puisqu’elles ont souvent des droits d’accès très larges sans même le savoir. Du côté de la direction des systèmes d’information, les comptes “administrateur” et/ou “super-utilisateur” ont souvent accès par défaut à une grande quantité de données, alors même que leurs fonctions ne les y autorisent pas.
Les comptes à privilèges en pratique
Pour sécuriser et contrôler l’accès aux données personnelles il convient de :
- Recenser les accès aux données et identifier les comptes à privilèges. ce recensement doit permettre une révision des droits d’accès selon les situations. Vous pouvez utiliser des logiciels permettant de trouver automatiquement les comptes “super-utilisateurs” et de supprimer les comptes dormants (des comptes de collaborateurs qui ont quitté la société par exemple)
- Rappeler les règles et définir une politique d’attribution des niveaux de privilèges en fonction de la légitimité des besoins en optant pour une politique “à moindres privilèges” (Donner accès aux seules données vraiment utiles pour le collaborateur).
- Pour protéger les comptes à privilèges “à haut risque potentiel” (ayant accès à beaucoup de données personnelles), il est nécessaire de mettre en place une authentification forte à deux facteurs, avec un mot de passe unique par exemple (OTP), tout en imposant des comptes nominatifs (à la place d’un compte “admin” multi-utilisateurs incontrôlable.
Pour gérer et assurer la traçabilité des comptes à privilèges, des outils existent pour surveiller leur utilisation et leur période d’activité. Cela permet une détection rapide en cas de comportement anormal (utilisation du compte alors que son propriétaire est en congés).
Il est aussi possible de restreindre l’accès à un compte super-utilisateur selon l’appareil ou le lieu de connexion (empêcher l’accès à partir d’un smartphone, pour éviter une fuite de données).
Au final, aucun outil ne pourra remplacer une culture d’entreprise spécifique à la protection des données.
Chaque collaborateur doit être responsabilisé sur cette thématique, pour ne plus jamais qu’un post-it/mot de passe se retrouve collé sur un écran.
Source utile :
Authentification par mot de passe : les mesures de sécurité élémentaires