Cybersécurité : la GDPR fait de la gestion des droits d'accès une priorité

Les mauvaises habitudes des utilisateurs sont la principale source de menace pour la sécurité informatique. Il appartient donc désormais aux entreprises de faire de la politique des droits d’accès une priorité.

La sécurité informatique est trop souvent relayée au second plan par les entreprises

Arnaques, phishing, liens ou pièces jointes infectés, mails ou sites web frauduleux : face à la vaste boîte à outils du hacker, les utilisateurs sont de plus en plus vulnérable. La récente étude opérée par l’IISP met en exergue la vulnérabilité des internautes engendrée par leurs habitudes en ligne. Elle insiste également sur le manque croissant de compétences techniques et la trop faible part des budgets dédiés à la sécurité informatique. En effet, les entreprises tendent à ne pas intégrer la question pourtant cruciale de la cybersécurité à leur stratégie globale.

Ce phénomène est confirmé par l’étude Brocade menée sur 630 responsables informatiques en Australie, en France, en Allemagne, à Singapour, aux États-Unis et au Royaume-Uni. Le résultat est sans appel : dans les douze prochains mois, les compétences de ceux-ci ne correspondront plus aux défis qu’ils rencontreront dans la pratique quotidienne de leur métier. Le secteur informatique a atteint un stade où les compétences viendront à manquer dans un futur proche. Il devient donc de plus en plus important de former de nouveaux talents pour répondre à cette demande qui va encore croître avec la mise en application de la GDPR.

GDPR : les entreprises ont deux ans pour adapter leur politique de données personnelles

La GDPR entrera en vigueur en mai 2018, soit dans moins d’un an. Désormais, toute entreprise détenant ou traitant les données d'un citoyen de l’Union Européenne devra être en conformité avec la nouvelle réglementation. Toute entreprise qui n’appliquerait pas ces mesures de protection des données personnelles risque une sanction allant jusqu'à 4 % du chiffre d'affaires annuel global à 20 millions d'euros, la somme la plus importante étant retenue.

Toutefois, il est peu probable que ce nouveau règlement tienne compte du fait que la violation ait été causée par un manque de compétences techniques, une erreur innocente ou un employé malveillant. Dans la mise en place de la GDPR, l’impossibilité de recruter des profils compétents n’entrera pas en ligne de compte, seul le résultat sera entendu : les entreprises auront eu deux années pour se mettre en conformité. Pourtant, bon nombre d’entre elles ont pris un retard conséquent et n’en sont encore qu’au stade de l’audit interne.

La GDPR intègre la gestion des droits d’accès à ses mesures

Le règlement stipule notamment que les entreprises doivent s'assurer que les données sensibles ne seront accessibles qu’aux salariés qui en ont besoin. En intégrant cela, la GDPR fait de la gestion des droits d’accès une priorité pour les entreprises : celles-ci ne peuvent désormais plus se permettre d’ignorer cette question.

Des solutions de gestion des droits d'accès existent pourtant depuis des années, déployées par des entreprises dédiées aux bonnes pratiques et respectant les exigences en matière de gouvernance, de risque et de conformité. Aujourd’hui nécessaires pour davantage que des pratiques exemplaires, ces solutions doivent faire partie intégrante de la stratégie de sécurité informatique d'une entreprise, et prendre en compte l’évolution du profil et des responsabilités de ses collaborateurs pour moduler leurs droits d’accès aux données sensibles selon leurs besoins – et cela de manière automatique, sans avoir recours à des process spécifiques. La mise en place de ces chantiers colossaux est chronophage mais incontournable pour la bonne sécurité d’une entreprise.

Pour bien se préparer et se conformer à la GDPR et pour mieux protéger le précieux patrimoine que constituent leurs données, les entreprises doivent faire du contrôle d'accès aux données une priorité essentielle. La capacité à comprendre et à déterminer qui a accès aux données au sein de l'entreprise, qui a autorisé cet accès, et quelles capacités cet accès prodigue-t-il aux utilisateurs est primordial pour sécuriser l'entreprise contre les violations de données internes comme externes.