5 étapes pour adopter une politique de permission d’accès aux données
La mise en oeuvre d'une politique de gestion des permissions d'accès aux données n'est pas un tâche aisée. Il existe pourtant des étapes à respecter pour que celle-ci soit efficace.
Quels utilisateurs doivent avoir accès à quelles données dans l’entreprise ? Quelles autorisations doit-on donner à tel utilisateur ? Qui peut accéder à telle donnée ? Quelle donnée ne doit plus être accessible à tel groupe d’utilisateurs ? Autant de questions qui trouvent leurs réponses lors de la mise en place d’une solution automatisée de gestion de données mais qui nécessitent 5 étapes à respecter :
Etape 1 : Faire l’inventaire des données et lister les utilisateurs qui y ont accès
L’une des premières choses à faire est d’examiner les données disponibles. Le service informatique doit pouvoir fournir un rapport répertoriant tous les dossiers, y compris les sites de type SharePoint, etc. et identifier les utilisateurs qui ont accès à ces données afin de voir s’il est normal qu’ils y aient accès. Il est également important de définir quels sont les dossiers qui contiennent des données sensibles, quels dossiers sont ouverts à d’autres utilisateurs ou groupes d’utilisateurs dans l’entreprise et avec quels autres utilisateurs ils peuvent échanger ces données.
Etape 2 : Examen des permissions/utilisateurs ayant des accès
Une fois confirmée, la propriété et la bonne compréhension des types de données contenues dans les dossiers, l’étape suivante consiste à effectuer un premier examen des autorisations.
Il s’agit alors de vérifier quels utilisateurs ont accès à quelles données et de décider quels utilisateurs doivent être supprimés ou ajoutés.
Il est important que cette opération soit réalisée avec soin, qu’elle soit manuelle ou automatisée, car c’est la première étape dans l’élimination des accès excessifs et la mise en place des mesures visant à assurer que seules les personnes autorisées ont accès aux données.
Etape 3 : S’assurer que toutes les demandes sont traitées de manière appropriée
Une fois que les accès ont été revus et validés, ils doivent être maintenus. Il suffit alors d’approuver/refuser les demandes d’accès à mesure qu’elles arrivent, que ce soit avec une solution automatisée ou manuellement.
Les demandes d’accès doivent être étudiées
soigneusement, en particulier lorsque les informations sont sensibles :
- A quelles données demande-t-on l’accès ?
- Si j’accorde l’accès, y’a-t-il des éléments dans ce dossier qui doivent être traités de façon confidentielle ?
- L’accès doit-il être accordé de façon permanente ou temporaire ?
- Si l’accès doit être accordé temporairement, comment se souvenir de le révoquer ?
Etape 4: Vérifier régulièrement les autorisations d’accès
Sur une base régulière – une fois par trimestre, tous les 6 mois, etc. – le service informatique doit s’assurer que toutes les modifications d’accès soient approuvées et justifiées depuis leur dernier contrôle et garantir que les changements organisationnels n’ont pas entrainés d’accès injustifiés.
Les responsables doivent pouvoir préciser à quel niveau l’accès doit être restreint ou s’il doit rester le même et un rapport de leurs décisions doit être enregistré. Les rapports d’enquête sur les autorisations d’accès aident les entreprises à maintenir efficacement un modèle de privilège sur le long terme.