Catégorie : Conformité RGPD > G - AUTHENTIFIER ET CONTRÔLER LES ACCÈS > G2 - Attribuer les bons droits sur chaque ressource | |||
---|---|---|---|
SujetProfils d’utilisateurs et droits d’accès : première étape de la sécurité des données | |||
ContenuSécurité : Contrôler qui pénètre sur le système d’information de l’entreprise demande en amont de mettre en œuvre une politique de sécurité, accompagnée des outils adéquats. Quelques conseils sur ce point. Dans un premier temps, un travail sur les différents profils d’utilisateurs (visiteur, employé avec divers droits, administrateur, etc.) doit permettre de garantir à chacun des droits d’accès aux informations qui le concernent, ni plus, ni moins, au regard de ses attributions dans l’entreprise. Cette étape assure ensuite la gestion sécurisée de la multiplication et de la multiplicité des utilisateurs. Alors, comment « critériser » les profils utilisateurs ?Trois critères de sélectionDans un premier temps, une typologie des différents utilisateurs du système d’information de l’entreprise sera créée. Collaborateurs, employés, clients, prestataires, administrateurs, tous les profils qui pour des raisons différentes seront amenés à se connecter au système d’information de l’entreprise doit être recensée. Ensuite, la DSI va définir le périmètre matériel et logiciel du système d’information de l’entreprise. Car au delà de la fonction de chaque utilisateur, créer un corpus de tout ce qui entre dans le périmètre de la DSI assure une connaissance complète du matériel à protéger. Ordinateurs fixes, PC portables, tablettes et smartphones pour les périphériques ; serveurs d’application et de stockage sur site ou sur site distant ; une liste complète des instances reliées directement ou indirectement au système d’information de l’entreprise doit être réalisée. Cela permet de s’assurer des critères physiques de sécurité de chaque matériel. Puis un listage des applications et des données du SI permet de déterminer la criticité de chaque brique. Enfin, une liste des lieux potentiels de connexion au réseau devra également être établie selon le critère de la sécurisation de la connexion. Réseau Wi-Fi public (dans un aéroport par exemple), VPN, réseau interne de l’entreprise, etc. En fonction du lieu et donc du protocole de connexion utilisé, les droits d’accès ne pourront être les mêmes. Croisement des critèresUne matrice, réalisée à partir de ces trois listes, permet ensuite de répondre à la question : qui a le droit d’accéder à quel matériel et à quel logiciel, et donc aux différents types de données de l’entreprise ? Et ce en fonction de son profil, du type d’appareil qu’il utilise, et du protocole de connexion qu’il utilise. Concrètement, un administrateur pourra accéder à l’ensemble du matériel, des données, et des outils de configuration du SI, si toutefois sa connexion est sécurisée. À l’inverse, un visiteur présent dans les locaux de l’entreprise pourra accéder à l’Internet via le réseau de l’entreprise. Mais en aucun cas aux données financières contenues dans vos serveurs. Garantir confidentialité, disponibilité et intégritéLa définition des profils d’utilisateurs et de droit d’accès garantit la sécurité du système d’information, en s’assurant de :
SourcePAR GUILLAUME SERRIES, Publié le 15/10/2013 à 14:41 | Mis à jour le 15/10/2013, www.zdnet.fr, 2 min | |||
Rédacteur : system Créé le 29-03-2024 11:14 Dernière mise à jour le 29-03-2024 11:16 | 32 vues Cet élément fait partie de la FAQ |