[Diaporama] Protection des données, cybersécurité: 5 recommandations de la Cnil
La Cnil a récemment publié un guide de bonnes pratiques pour aider les entreprises à sécuriser leurs données informatisées, et accompagner ainsi leur démarche de mise en conformité avec le RGPD. William Culbert, directeur commercial Europe du Sud de Bomgar, revient sur ces recommandations.
Je m'abonne
Une gestion sécurisée des identifiants et des mots de passe
Pour garantir un accès réservé aux personnes autorisées, la Cnil insiste sur la nécessité préalable de reconnaître et d'authentifier les utilisateurs de manière forte. Elle précise que l'authentification d'un utilisateur est bien plus solide si l'entreprise a recours à une combinaison d'au moins deux facteurs d'identification.
La Commission recommande également de définir un identifiant unique par utilisateur et d'interdire les comptes partagés entre plusieurs utilisateurs, pratiques pourtant courantes dans les organisations. Les mots de passe doivent par ailleurs se conformer à des critères très particuliers (différent pour chaque application, format spécifique, verrouillage en cas de connexions infructueuses, changement régulier...) et être stockés de façon sécurisée.
Pour éviter une gestion manuelle des mots de passe, certaines solutions permettent de les stocker, de les renouveler automatiquement et de les gérer dans un coffre-fort de mots de passe pour comptes privilégiés. Il est également possible de vérifier que ceux-ci sont conformes avec les politiques de gestion des mots de passe fixées par les organisations: ceci permet de limiter les risques d'erreurs humaines et d'automatiser les opérations, les rendant moins fastidieuses et plus fiables.
Les comptes privilégiés: la solution pour garantir la sécurité des accès aux serveurs
Cette gestion intelligente des identifiants doit aller de pair avec un contrôle plus exigeant au niveau des accès aux systèmes et des données. Certaines solutions donnent aux utilisateurs uniquement l'accès dont ils ont besoin, au travers du principe du "moindre privilège". Leur accès est ainsi limité selon la tâche à effectuer et le temps requis pour cela.
Différents profils peuvent ainsi être créés. Pour un contrôle optimal, les techniciens peuvent paramétrer des permissions de session granulaires et configurer des paramètres, comme des plages horaires, des zones d'accès spécifiques etc. Les accès peuvent être approuvés au cas par cas et prendre fin automatiquement, dès que le délai est écoulé.
Éviter l'approche "tout ou rien" des VPN pour mieux garantir la traçabilité
Pour une meilleure protection du réseau informatique, les entreprises doivent privilégier les solutions qui évitent l'utilisation d'un VPN. En effet, les VPN sont basés sur une approche "tout ou rien" qui ne permet pas de tracer, d'enregistrer ou de limiter les accès et les opérations. Les solutions avancées ont l'avantage d'offrir une architecture sécurisée qui bloque tous les chemins d'accès, point à point, aux systèmes non autorisés, sans connexion descendante. Cette procédure élimine ainsi la nécessité d'utiliser des VPN.
Pour une confidentialité et une protection des données maximale, il est préférable que les données (en transit ou stockées) des sessions des comptes privilégiés soient chiffrées (ex: chiffrement en TLS 1.2). Certaines solutions permettent même de programmer des alertes en cas d'utilisation anormale ou d'activité suspecte, ou encore de superviser les sessions en temps réel pour un contrôle optimal.
Sécuriser les postes de travail et protéger le réseau informatique interne
La Cnil préconise par ailleurs de sécuriser les postes de travail afin de prévenir les accès frauduleux, l'exécution de virus ou la prise de contrôle à distance. Cela est d'autant plus pertinent que le rapport Global Security 2017 Trustwave révèle que la majorité des attaques et compromissions sont réalisées par le biais d'outils de prise en main à distance non sécurisée. Les entreprises doivent donc recourir à des solutions sécurisées pour permettre l'accès aux postes de travail des utilisateurs lors de résolution de problèmes ou de mise à niveau des applications.
Cela s'applique pour les équipes de support IT interne, ayant pour mission de dépanner les utilisateurs au sein de leur entreprise, mais aussi pour les équipes d'assistance clientèle devant intervenir sur les postes fixes ou mobiles de leurs clients. Là encore, le fait de ne pas utiliser de VPN et de chiffrer les données permet de limiter la surface des attaques et de renforcer la sécurité.
Savoir agir et réagir... vite!
Un des points forts de ces nouvelles solutions, qui s'inscrivent dans le droit fil des recommandations de la Cnil, réside dans le fait que tous les accès peuvent être enregistrés automatiquement pour des analyses et audits ultérieurs, permettant ainsi à l'organisation de prouver sa conformité au RGPD et de fournir les attestations nécessaires. En effet, la Cnil recommande de journaliser les accès et de prévoir des procédures pour gérer les incidents, afin d'être en mesure de réagir en cas de violation de données (atteinte à la confidentialité, l'intégrité ou la disponibilité).
Il est donc fortement recommandé d'enregistrer toutes les sessions d'accès et activités de chaque session. Ainsi, les administrateurs réseau sont en mesure de savoir qui a accédé à quel système, pour y faire quoi, et de prendre les mesures adéquates, en cas de besoin.
Pour aller plus loin, découvrez l'article "Protection des données personnelles: la Cnil publie un guide sous forme de 17 fiches pratiques"
