Mettre en place le contrôle d'accès à la donnée
La politique de contrôle d’accès à la donnée est un enjeu majeur de la cybersécurité des entreprises. Le contrôle d’accès est non seulement nécessaire à la conformité avec notamment le RGPD, mais il est une pièce maîtresse de la sécurité des informations stockées et utilisées par l’entreprise.
Chaque département de l’entreprise collecte, génère, stocke et utilise une quantité importante d’informations confidentielles et de données. Assurer la sécurité de ces données est essentiel, soit parce qu’elles sont sensibles et doivent intrinsèquement être protégées (c’est le cas par exemple des données utilisateurs), soit parce qu’elles contiennent des informations stratégiques ou confidentielles qui doivent rester internes à l’entreprise.
Dans ce cadre, la mise en place d’une politique efficace de contrôle d’accès à la donnée est nécessaire. Qu’est-ce que le contrôle d’accès ? Comment le mettre en place ? Quelles sont les premières étapes concrètes d’une politique de contrôle d’accès efficace ?
Cette politique, qui fonctionne généralement en lien avec le chiffrement des fichiers et des échanges internes et externes à l’entreprise, est un enjeu de plus en plus important pour les sociétés qui en font un axe stratégique fondamental.
Qu’est-ce que le contrôle d’accès à la donnée ?
Au sens large, le contrôle d’accès peut regrouper deux champs d’action distincts : le contrôle d’accès physique, avec la gestion et la limitation des accès dans les locaux ou dans une partie des locaux d’une entreprise, et le contrôle d’accès logique, sur lequel nous nous concentrerons ici. Il s’agit de la gestion et de la gouvernance des accès numériques à la donnée.
Le plus souvent, une politique d’accès à la donnée se fond avec un effort connexe sur la gestion électronique des documents, c’est-à-dire le stockage, la conservation, la recherche et l’utilisation des fichiers dans un espace numérique protégé.
Concrètement, le contrôle d’accès vise à définir des rôles et des privilèges permettant de limiter, justement, l’accès à la donnée. Le terme d’accès renvoie aux actions de consultation, modification, utilisation ou création de documents et de fichiers dans un système donné. Il s’agit en pratique de définir qui peut ou non accéder à telle ou telle donnée.
Le contrôle d’accès à la donnée a deux vertus :
- Il permet de protéger les fichiers de toute tentative d’intrusion en provenance de l’extérieur de l’entreprise, puisque seules les personnes autorisées peuvent accéder aux informations ;
- Il permet de limiter les personnels ayant accès aux informations en fonction de différents critères, ce qui permet de réduire d’autant les risques de malveillance ou de failles de sécurité.
Ces deux vertus participent de la mise en place d’une politique plus générale de sécurité des données.
Comment mettre en place une politique de contrôle d’accès à la donnée ?
Implémenter le contrôle d’accès aux données dans l’entreprise suppose de réaliser plusieurs travaux. Le premier d’entre eux consiste en la conduite d’un audit visant à construire un mapping des données générées, collectées et conservées par l’entreprise. En miroir, il s’agit également de déterminer qui, au sein de l’entreprise, utilise quelle donnée et donc qui doit avoir accès à quoi.
Ensuite, il est naturellement nécessaire d’organiser le stockage de la donnée dans un réseau sécurisé. C’est à cette étape que des solutions de chiffrement de données, comme Seald, peuvent être implémentées. Cette étape est cruciale, pour une raison simple : vous êtes en train d’installer des portes sécurisées autour de vos données, il faut donc aussi entourer ce coffre-fort de murs solides pour éviter tout risque de vol de données !
Ensuite seulement peut venir l’étape de création des protocoles de contrôle des données à proprement parler, au moyen de technologies dites d’IAM (Identity and Access Management). Ces technologies permettent d’identifier et d’authentifier un utilisateur, et de lui ouvrir ou non l’accès à la donnée. En pratique, il faudra utiliser les informations collectées à la première étape, celle des audits, pour autoriser aux bonnes personnes l’accès aux données.
Plusieurs critères peuvent être retenus : fonctions, niveau de responsabilité, etc. Ce recours aux technologies IAM est au cœur du dispositif. Il permet également d’enregistrer et de mesurer les demandes d’accès aux données, autorisées ou non. Ce monitoring est utile pour percevoir les tentatives de vol de données qui passent sinon souvent inaperçues.
Enfin, pour que cette politique soit efficacement déployée dans l’entreprise, il faut sensibiliser ses membres à ces protocoles de contrôle. Les équipes vont avoir à intégrer ce contrôle dans leurs habitudes quotidiennes, car c’est bien lui qui pourra éviter les fuites de données qu’elles risquent volontairement ou non de générer.
Comment réagir en cas de menaces ou de failles de sécurité ?
Le contrôle d’accès à la donnée a, on l’a vu, pour but principal de lutter contre les cyberattaques. Il permet de les repérer et de les bloquer par l’usage du chiffrement et du contrôle. La cybersécurité passe, au-delà de la mise en place de ces protocoles, par une « hygiène » informatique sur la durée.
Il s’agit notamment d’éviter de considérer l’audit préalable qui a été effectué comme une donnée statique, mais au contraire de le mettre constamment à jour.
Les usages qui peuvent être faits des données vont probablement évoluer dans la vie de l’entreprise, tandis que de nouvelles informations peuvent apparaître. Surtout, les personnes ayant accès à la donnée vont changer, soit qu’elles quittent la société, soit qu’elles changent de position au sein d’un même département ou non.
Dans ce cas, la révocation des droits d’accès est primordiale pour limiter au maximum l’accès à la donnée et éviter la détérioration du système de sécurité au cours du temps.
De manière générale, les solutions technologiques à utiliser sont en constante évolution à mesure que les cybermenaces changent.
Better Seald than sorry.