A vos révisions: Gestion des habilitations & sensibilisation des utilisateurs

La période de fin d’année est l’occasion de réviser les bonnes pratiques en matière de sécurité. Continuons avec ce que nous dit la CNIL (Commission Nationale de l’Informatique et des Libertés, France) :

«Chaque utilisateur du système ne doit pouvoir accéder qu’aux données dont il a besoin pour l’exercice de sa mission. Concrètement, cela se traduit par la mise en place d’un mécanisme de définition des niveaux d’habilitation d’un utilisateur dans le système, et d’un moyen de contrôle des permissions d’accès aux données.

Il convient de veiller également à ce que les utilisateurs soient conscients des menaces en termes de sécurité, ainsi que des enjeux concernant la protection des données personnelles.

Les précautions élémentaires

  • Définir des profils d’habilitation dans les systèmes en séparant les tâches et les domaines de responsabilité, afin de limiter l’accès à des données à caractère personnel aux seuls utilisateurs dûment habilités.
  • Supprimer les permissions d’accès des utilisateurs dès qu’ils ne sont plus habilités à accéder à un local ou à une ressource, ainsi qu’à la fin de leur période d’emploi;
  • Documenter les procédures d’exploitation, les tenir à jour et les rendre disponibles à tous les utilisateurs concernés. Concrètement, toute action sur le système, qu’il s’agisse d’opérations d’administration ou de la simple utilisation d’une application, doit être expliquée dans des documents auxquels les utilisateurs peuvent se référer;
  • Rédiger une charte informatique et l’annexer au règlement intérieur.

Ce qu’il ne faut pas faire

  • Définir des comptes administrateur partagés par plusieurs personnes.

Pour aller plus loin

  • Établir, documenter et réexaminer une politique de contrôle d’accès en rapport avec la finalité du traitement.

La politique de contrôle d’accès doit inclure :

    • les procédures d’enregistrement et de radiation des utilisateurs destinées à accorder et à retirer l’accès au traitement ;
    • les mesures incitant les utilisateurs à respecter les bonnes pratiques de sécurité lors de la sélection et l’utilisation de mots de passe ou d’autres moyens d’authentification ;
    • les mesures permettant de restreindre et de contrôler l’attribution et l’utilisation des accès au traitement.
  • Classifier les informations de manière notamment à indiquer si celles-ci sont des données sensibles. Cette classification permet de rendre compte du niveau de sécurité à appliquer.
  • Envoyer régulièrement à tous les utilisateurs les mises à jour des politiques et procédures pertinentes pour leurs fonctions.
  • Organiser des séances de formation et de sensibilisation à la sécurité de l’information. Des rappels périodiques peuvent être faits par le biais de la messagerie électronique.
  • Prévoir la signature d’un engagement de confidentialité (cf. modèle de clause ci-dessous), ou prévoir dans les contrats de travail une clause de confidentialité spécifique concernant les données à caractère personnel» .

Source CNIL : http://www.cnil.fr/les-themes/securite

Philippe

Chef de projet Sécurité