Retour

IAM GDPR

Le Règlement Général de l’UE sur la Protection des Données (#RGPD – #GDPR en anglais) renforce et harmonise la protection des données à caractère personnel pour l’ensemble des citoyens de l’UE. Ce règlement impose des exigences entièrement nouvelles quant à la façon dont les organisations doivent traiter ces données, ce qui implique, pour les entreprises, accroître leurs efforts dans la gestion de la sécurité des informations et les investissements associés. Il est important de noter que le règlement (qui est déjà en application, seule l’application des sanctions est différée à mars 2018) s’impose à toutes les entreprises, européennes ou extra-européennes, ayant une activité qui accède à des données personnelles de citoyens de l’UE (art.3).

Une solution de gestion des identités et des accès efficace et performante est la pierre angulaire du système d’information des entreprises pour établir et maintenir la conformité avec les exigences nombreuses et complexes du RGPD.

 

Maîtrise des risques

Les atteintes à la protection des données à caractère personnel ont donné lieu, par le passé, à des situations désastreuses (en termes financiers mais aussi d’image) à la fois pour les entreprises et pour les personnes touchées avec, pour conséquences, des pénalités parfois élevées. Avec l’activation prochaine des sanctions prévues par le RGPD, la conformité est devenue cruciale puisque des pénalités allant jusqu’à 4 % du chiffre d’affaires mondial pourront être prononcées à l’encontre des entreprises défaillantes (art. 83, 84 du RGPD et article 65 de la loi n°2016-1321 du 7 octobre 2016).

À mesure que la complexité des systèmes d’information des entreprises augmente, les risques liés à la gestion des accès augmentent. De plus, l’ubiquité d’Internet a imposé d’une part le partage généralisé d’informations entre les sociétés et leurs partenaires et prestataires et, d’autre part, la pervasivité des accès aux ressources de l’entreprise. De ce fait, si les fuites d’informations les plus retentissantes (Sony, Yahoo!…) sont souvent l’œuvre d’acteurs extérieurs à l’entreprise, la majorité (en nombre et probablement en valeur) des brèches de sécurité proviennent de l’intérieur de l’organisation, où les conséquences d’un comportement négligent ou malfaisant peuvent être démultipliées si une gestion rigoureuse des permissions et des accès n’est pas opérationnelle. La protection des données se trouve au cœur du RGPD (art.5).

 

Volatilité des permissions

Au sein du SI d’une entreprise, les données sont continuellement importées, stockées, transférées vers et depuis des référentiels structurés (base de données, annuaires…) ou non-structurés (messageries, fichiers…), voire hors du périmètre physique de la société dans le cloud. Cette hétérogénéité ne permet pas, en général, aux responsables du SI (DSI), de la sécurité (RSSI) et au Délégué à la Protection des Données (#DPO, Guidelines on Data Protection Officers, G29 2017) d’avoir la vision d’ensemble nécessaire pour vérifier et valider que les employés ont les droits d’accès et les autorisations strictement nécessaires à l’accomplissement de leurs missions. La validation de la conformité de l’entreprise aux exigences du RGPD est alors une mission impossible.

De plus, ces mêmes employés peuvent être amenés à changer de rôle au sein de l’organisation, en cas de mutation ou de promotion interne par exemple. Cela signifie qu’ils acquièrent de nouveaux droits et accèdent à de nouveaux ensembles de données, sans obligatoirement perdre les accès précédemment acquis (en tout cas immédiatement). Cette distorsion du modèle de droits initial peut constituer une menace en ce qui concerne la légalité du traitement des données à caractère personnel puisque la base juridique du traitement des données peut ne plus s’appliquer au nouveau rôle du salarié (art.4). Ce serait alors une violation du RGPD puisque le principe de responsabilité sous-jacent au RGPD impose à tout responsable d’être capable de démontrer qu’il se conforme aux obligations du règlement (art.24).

 

Limitations des annuaires d’entreprise

La forme la plus simple du contrôle des accès au SI peut être réalisé grâce aux fonctionnalités des annuaires d’entreprise : par exemple, Active Directory permet de structurer les ressources de l’entreprises dans des groupes disposant de droits d’accès spécifiques. Cependant, ces méthodes sont trop complexes et trop statiques pour prendre en compte la mobilité et l’hétérogénéité des cas d’usage actuels. De plus, la vue d’ensemble des droits et permissions des personnes est tout simplement impossible à consolider compte tenu de l’imbrication des différentes structures ; la différence entre les droits apparents et les droits réels d’un employé peut engendrer des risques graves de violations de règle du RGPD si toutes les relations ne sont pas correctement interprétées. En effet, la prise en compte des principes de protection des données à caractère personnel dès la conception et par défaut[i] sont partie intégrante de l’évaluation de la conformité (art.25).

Par ailleurs, les autorisations attribuées à un employé à travers les fonctionnalités de l’annuaire central ne reflètent pas forcément les droits de cette personne dans une application donnée si la correspondance est réalisée « manuellement ». L’automatisation du processus est la seule façon de garantir que les droits attribués sont

 

correctement et immédiatement appliqués (à un delta temporel près lié à la fréquence de synchronisation des référentiels, le cas échéant).

Enfin, il existe de nombreux cas d’usage dans lesquels il est essentiel de garantir, à tout moment, que des ensembles de droits toxiques, c’est-à-dire incompatibles entre eux, ne sont pas simultanément attribués à une personne ou un groupe de personnes [ii]. Si tel était le cas, ce serait à nouveau un cas de violation des règles du RGPD.

 

 

I AM GDPR

Le RGPD définit les objectifs qui doivent être atteints en termes de protections des données à caractère personnel, sans imposer de méthodes ou de technique spécifique. Cette protection que le RGPD définit et encadre repose sur la gestion des accès à ces données, c’est-à-dire par le contrôle et la supervision des droits d’accès et de leur traçabilité. Une solution de gestion des identités et des accès souple et performante comme Avencis Hpliance réduit considérablement les menaces liées aux utilisateurs, permet d’éliminer les comptes génériques et partagés, automatise les traitements, assure la cohérence entre les référentiels de l’entreprise, produit des rapports détaillés sur l’affectation des droits et des ressources, vous aidant ainsi à progresser sur la voie de la conformité au RGPD.

 

 

[i] « privacy by design » et « privacy by default » en anglais.

[ii] Voir http://www.rfi.fr/asie-pacifique/20151016-vanuatu-president-parlement-arrestation-auto-amnistie-deputes-grace pour un exemple amusant.

 

Frédéric Pierre – Directeur Scientifique

 

Téléchargez la fiche produit Avencis Hpliance