Le moindre privilège, pierre angulaire de la protection des données

0
132

Le thème de la semaine de la protection des données de cette année, qui a débuté le 21 janvier, est « Prenez le contrôle de vos données ». Les données sont le bien le plus précieux de toute organisation, et les cybercriminels le savent. En contrôlant étroitement l’accès aux données, les entreprises peuvent contribuer à garantir la confidentialité des données, à renforcer la confiance des clients, à éviter les compromissions coûteuses et à se conformer aux exigences réglementaires.

Anthony Moillic, Field CISO, EMEA & APAC chez Netwrix, explique qu’une meilleure protection des données commence par une application rigoureuse du principe du moindre privilège :

« Le principe du moindre privilège est depuis longtemps reconnu comme la pierre angulaire de la protection des données. Chaque utilisateur, service et application ne devrait se voir accorder que les autorisations dont il a besoin pour effectuer son travail. Quelles que soient les compétences techniques ou la fiabilité d’un utilisateur, son compte ne doit avoir accès qu’aux ressources du réseau nécessaires à l’accomplissement de sa tâche.

Le fait de ne pas appliquer ce principe fondamental met en péril la confidentialité des données de multiples façons. Tout d’abord, les utilisateurs peuvent abuser de leur accès, accidentellement ou délibérément, pour visualiser ou modifier des contenus auxquels ils ne devraient pas avoir accès. De même, les applications ou les services auxquels sont accordés plus de droits qu’ils n’en ont besoin peuvent compromettre la confidentialité des données, que ce soit par erreur ou à dessein. En outre, tout adversaire qui compromet le compte d’un utilisateur peut tirer parti de tous les droits accordés à ce compte, y compris les autorisations d’accès à des informations sensibles ou réglementées. Et toute application malveillante, telle qu’un ransomware, qui s’exécute sous un compte d’utilisateur sur-provisionné, peut endommager plus de données qu’elle n’aurait pu atteindre si le principe du moindre privilège avait été appliqué.

Toutefois, la mise en œuvre du principe du moindre privilège de manière précise et cohérente dans les environnements informatiques complexes et dynamiques d’aujourd’hui est un véritable défi. Elle nécessite une approche à plusieurs niveaux. Un élément central est la gouvernance et l’administration des identités (IGA), qui consiste à s’assurer que l’organisation contrôle correctement les utilisateurs, les applications et les autres identités qui interagissent avec ses systèmes d’information. L’IGA est étroitement liée à la gouvernance de l’accès aux données, qui permet de s’assurer que les droits d’accès sont accordés en fonction de ce qui est nécessaire et suffisant pour que chaque identité remplisse ses fonctions. La gestion des droits des utilisateurs qui ont des droits d’accès élevés aux données et aux systèmes sensibles est particulièrement importante ; en fait, elle fait l’objet d’un domaine distinct appelé gestion des accès privilégiés (PAM).

Il est essentiel de savoir qui a accès à quoi et pourquoi, mais cela ne suffit pas. Les entreprises doivent également surveiller attentivement ce que les employés, les sous-traitants, les applications et les autres identités font avec l’accès aux données qui leur a été accordé, et s’assurer qu’elles peuvent repérer rapidement toute activité suspecte ou risquée. Cependant, les organisations ne peuvent pas sécuriser l’ensemble des volumes importants de données de la même manière. Elles doivent les classer en fonction de leur valeur et de leur sensibilité afin de pouvoir mettre en œuvre des contrôles de sécurité pour les protéger de manière appropriée.

Les équipes IT ne peuvent pas accomplir tout cela seules. Pour garantir la confidentialité des données, il faut former et responsabiliser les utilisateurs professionnels qui savent réellement qui a besoin de quels niveaux d’accès, à quels systèmes informatiques et à quelles données. Ces utilisateurs sont également essentiels pour comprendre si une activité particulière, comme la suppression de données, est réellement suspecte ou si elle fait simplement partie d’un processus commercial légitime, comme le nettoyage d’anciens fichiers. Il est donc très important de les impliquer autant que possible dans ces processus.

Une stratégie globale de protection des données nécessite également une gestion de la supply chain, comme le souligne la directive NIS2. Les entreprises doivent limiter les données qu’elles partagent avec leurs partenaires tout en s’assurant que ces derniers protègent ces données de manière appropriée et ne les utilisent qu’aux fins prévues. En outre, il est important pour les organisations d’examiner attentivement les applications et les services qu’elles utilisent, car ils peuvent être le vecteur d’attaques qui compromettent la confidentialité des données.

La semaine internationale de la protection des données nous rappelle qu’un contrôle rigoureux de l’accès aux informations sensibles est essentiel pour préserver leur confidentialité. Une approche globale nécessite un provisionnement minutieux et une révision régulière des autorisations des utilisateurs, une classification précise du contenu, ainsi qu’une surveillance et une analyse continues de l’activité d’accès. Pour assurer la protection de l’ensemble de l’architecture de l’entreprise, l’intégration entre les différentes solutions de sécurité doit être aussi transparente que possible. »

Tribune par Anthony Moillic, Field CISO, EMEA & APAC chez Netwrix