Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Loi RGPD : les clés pour une mise en conformité

mars 2017 par Xavier LEFAUCHEUX, Directeur Commercial Wallix

La législation européenne RGPD oblige entre autre la traçabilité des utilisateurs mais, comment procéder lorsque l’on sait que les utilisateurs à privilèges ont les clés et accèdent à tout, à tout moment : devices (ordinateurs, tablettes et smartphones), cloud (pare-feu, bases de données, application), système de contrôle industriel, objets connectés ou encore data center.

Un seul utilisateur à privilège peut tout remettre en cause en utilisant ces outils et solutions à mauvais escient.

Les entreprises doivent être en mesure de cartographier précisément les droits et accès des utilisateurs à leurs ressources. Il faut être en mesure de parcourir les données à tout moment pour déceler toute activité suspecte ou simplement anormale.

Etre en capacité pour chaque organisation de tenir un registre des activités relatives aux traitements effectués sur les données, les données à caractère personnel.

Une politique de sécurité des SI indispensable

Qu’il s’agisse d’un top manager issu de la direction générale, du service informatique, des métiers stratégiques (finances, ressources humaines, marketing, …) ou des clients et fournisseurs, chacun détient les clés du royaume IT et les données à caractères personnels sont par définition réparties dans cet ensemble IT : les applications, les systèmes documentaires et d’archivage existant.

Avant toute mise en conformité avec la loi RGPD, La DSI et/ou son RSSI en particulier doit au préalable mettre en place une politique stricte autour de la sécurité des systèmes d’information. Avant toute conduite du changement, il apparaît essentiel d’analyser la maturité et la performance de sa politique en la matière, évaluer les risques des systèmes d’information tout en permettant la valorisation des données. Enfin, sensibiliser et responsabiliser les détenteurs d’informations capitales aux bonnes pratiques de la sécurité facilitera l’adoption des outils mis en place en vue de répondre aux exigences de la législation RGPD.

Transparence & contrôle : les 2 fondations incontournables vers l’adoption de la RGPD

Dès que « l’éducation » des responsables de service en matière de sécurité est finalisée, l’entreprise peut alors mettre en place certains prérequis essentiels :
- La transparence : il s’agit de rendre totalement transparent l’activité d’un utilisateur à privilèges dans un pays européen pour vérifier l’utilisation qui en est faite. L’utilisation d’une solution de gestion des accès à privilèges permet de gérer des sessions ainsi que leur traçabilité. La solution fournira aux auditeurs une transparence dans le repérage des incidents.
- Le contrôle : tout workflow comprenant l’accès d’un(e) employé(e) à des données personnelles devra faire l’objet d’un contrôle destiné à prévenir le partage non autorisé de ces mêmes données. Les solutions de gestion des accès à privilèges fournissent aux responsables informatiques une connaissance précise de l’identité de celui ou celle qui a le privilège d’accéder à des données personnelles

La gestion des comptes à privilèges, le rempart des attaques malveillantes

Le délégué à la protection des données aura besoin de savoir et de documenter l’ensemble des évènements qui ont mené à un incident. En utilisant systématiquement une solution de gestion des accès à privilèges, le délégué aura accès à une base pour réaliser un audit interne portant sur la conformité au RGPD et pourra également contrôler les accès aux systèmes recueillant des données personnelles.

Pour gérer efficacement leur système d’information vaste et complexe, les grandes entreprises devront – plus que les autres - mettre en place une solution de gestion des accès à privilèges à la fois uniforme, multi-sites, systématique et simple d’usage. Pour se prémunir de tout incident, les gestionnaires pourront ainsi :
- autoriser l’accès seulement quand cela est nécessaire et suspendre l’accès dès que la mission est terminée
- éviter que les utilisateurs à privilèges disposent des mots de passe locaux ou directement ceux des équipements cibles
- gérer de manière simple et centralisée l’accès à des systèmes complexes et hétérogènes
- créer une piste d’audit immuable pour toutes les opérations dépendant d’accès privilégiés.

En définitive, donner les clés du royaume à une base d’utilisateurs, restreints et suivis, garantit la sécurité du château.




Voir les articles précédents

    

Voir les articles suivants