RGPD : quand la CNIL communique les bonnes pratiques pour assurer la sécurité et la protection des données utilisateurs

Le Règlement Général sur la Protection des Données de l’Union Européenne entrera en vigueur le 25 mai 2018. Son objectif est de mieux encadrer la manière dont les informations personnelles des citoyens européens sont collectées, traitées et stockées. Pour aider les entreprises à s’y conformer, la CNIL vient de publier un guide présentant les bonnes pratiques dans ce domaine.

Un grand nombre des recommandations faites par la CNIL dans ce guide porte sur la sécurité des accès, une approche tout à fait pertinente. En effet, les cyberattaques sont la plupart du temps réalisées à partir de la compromission d’identifiants. Plusieurs études dont le rapport Global Security 2017 Trustwave, démontrent que les outils de prise en main à distance sont les outils les plus utilisés par les cybercriminels pour s’infiltrer dans les réseaux. Autre chiffre édifiant, 81% des attaques sont réalisées grâce à des mots de passe faibles et / ou compromis (Rapport Data Breach 2017 Verizon). Entrons un peu plus en détail dans les recommandations formulées par la CNIL afin de renforcer la sécurité de ces accès.

Une gestion sécurisée des identifiants et des mots de passe

Pour garantir un accès réservé aux personnes autorisées, la CNIL insiste sur la nécessité préalable de reconnaître et d’authentifier les utilisateurs de manière forte. Elle précise que l’authentification d’un utilisateur est bien plus solide si l’entreprise a recours à une combinaison d’au moins deux facteurs d’identification. La Commission recommande également de définir un identifiant unique par utilisateur et d’interdire les comptes partagés entre plusieurs utilisateurs, pratiques pourtant courantes dans les organisations. Les mots de passe doivent par ailleurs se conformer à des critères très particuliers (différent pour chaque application, format spécifique, verrouillage en cas de connexions infructueuses, changement régulier…) et être stockés de façon sécurisée.  Pour éviter une gestion manuelle des mots de passe, certaines solutions permettent de les stocker, de les renouveler automatiquement et de les gérer dans un coffre-fort de mots de passe pour comptes privilégiés. Il est également possible de vérifier que ceux-ci sont conformes avec les politiques de gestion des mots de passe fixées par les organisations : ceci permet de limiter les risques d’erreurs humaines et d’automatiser les opérations, les rendant moins fastidieuses et plus fiables.

Les comptes privilégiés : la solution pour garantir la sécurité des accès aux serveurs

Cette gestion intelligente des identifiants doit aller de pair avec un contrôle plus exigeant au niveau des accès aux systèmes et des données. Certaines solutions donnent aux utilisateurs uniquement l’accès dont ils ont besoin, au travers du principe du “moindre privilège“. Leur accès est ainsi limité selon la tâche à effectuer et le temps requis pour cela. Différents profils peuvent ainsi être créés. Pour un contrôle optimal, les techniciens peuvent paramétrer des permissions de session granulaires et configurer des paramètres, comme des plages horaires, des zones d’accès spécifiques etc. Les accès peuvent être approuvés au cas par cas et prendre fin automatiquement, dès que le délai est écoulé.

Eviter l’approche « tout ou rien » des VPN pour mieux garantir la traçabilité

Pour une meilleure protection du réseau informatique, les entreprises doivent privilégier les solutions qui évitent l’utilisation d’un VPN. En effet, les VPN sont basés sur une approche « tout ou rien » qui ne permet pas de tracer, d’enregistrer ou de limiter les accès et les opérations. Les solutions avancées ont l’avantage d’offrir une architecture sécurisée qui bloque tous les chemins d’accès, point à point, aux systèmes non autorisés, sans connexion descendante. Cette procédure élimine ainsi la nécessité d’utiliser des VPN. Pour une confidentialité et une protection des données maximale, il est préférable que les données (en transit ou stockées) des sessions des comptes privilégiés soient chiffrées (ex : chiffrement en TLS 1.2). Certaines solutions permettent même de programmer des alertes en cas d’utilisation anormale ou d’activité suspecte, ou encore de superviser les sessions en temps réel pour un contrôle optimal.

Sécuriser les postes de travail et protéger le réseau informatique interne

La CNIL préconise par ailleurs de sécuriser les postes de travail afin de prévenir les accès frauduleux, l’exécution de virus ou la prise de contrôle à distance. Cela est d’autant plus pertinent que la dernière étude Trustwave, citée en préambule, révèle que la majorité des attaques et compromissions sont réalisées par le biais d’outils de prise en main à distance non sécurisée. Les entreprises doivent donc recourir à des solutions sécurisées pour permettre l’accès aux postes de travail des utilisateurs lors de résolution de problèmes ou de mise à niveau des applications. Cela s’applique pour les équipes de support IT interne, ayant pour mission de dépanner les utilisateurs au sein de leur entreprise, mais aussi pour les équipes d’assistance clientèle devant intervenir sur les postes fixes ou mobiles de leurs clients. Là encore, le fait de ne pas utiliser de VPN et de chiffrer les données permet de limiter la surface des attaques et de renforcer la sécurité.

Savoir agir et réagir… vite !

Un des points forts de ces nouvelles solutions, qui s’inscrivent dans le droit fil des recommandations de la CNIL, réside dans le fait que tous les accès peuvent être enregistrés automatiquement pour des analyses et audits ultérieurs, permettant ainsi à l’organisation de prouver sa conformité au RGPD et de fournir les attestations nécessaires. En effet, la CNIL recommande de journaliser les accès et de prévoir des procédures pour gérer les incidents, afin d’être en mesure de réagir en cas de violation de données (atteinte à la confidentialité, l'intégrité ou la disponibilité). Il est donc fortement recommandé d’enregistrer toutes les sessions d’accès et activités de chaque session. Ainsi, les administrateurs réseau sont en mesure de savoir qui a accédé à quel système, pour y faire quoi, et de prendre les mesures adéquates, en cas de besoin.

Sécuriser ses accès dans le cadre du RGPD peut sembler complexe. Pourtant, la mise en place de certaines solutions sécurisées permet aux organisations de faciliter cette mise en conformité et de limiter les risques de failles, et donc de sanctions. Face à la complexité et à l’importance de l’enjeu, les entreprises ne doivent pas hésiter à se faire accompagner par des experts dans le domaine de la sécurité et de la protection des données.