Entretien avec Sandra Noziere, chef de projet i-Tracing:
WALLIX Bastion, une solution de Privileged Access Management (PAM) pour rationaliser ses mises en conformité
A l’heure de la digitalisation et des nouvelles technologies la protection des données privées est effectivement un enjeu majeur pour les entreprises et organisations publiques. Pour autant, nul besoin d’attendre Mai 2018 pour assurer des services de confiance pour ses clients et garantir des accès sécurisés aux données sensibles.
Certes le RGPD encadre plus fortement la protection des données privées mais entreprises et organisations se doivent de prendre en compte bon nombre de réglementations qui vont également dans ce sens :
- Loi Informatique et libertés de 1978, modifiée en 2004, qui pose les bases de la protection des données personnelles ;
- Directive Européenne NIS (Network & Information Security), du 6 juillet 2016 qui instaure la notion de fournisseurs de services numériques et les soumet à des exigences de sécurité et de notification d’incidents ;
- Directive Secret des Affaires qui entrera en vigueur courant 2018 qui protégera les entreprises européennes réputées vulnérables face à l’espionnage économique et industriel ;
- Loi Lemaire ou loi pour la République Numérique, entrée en vigueur en 2017, accorde de nouveaux droits aux utilisateurs, notamment en matière de protection des données personnelles.
A cela s’ajoute les réglementations sectorielles, comme PCI DSS ou BALE II pour la finance, PGSSI-S ou HDS pour la santé, NERC pour l’industrie. Mais toutes ces réglementations qu’elles soient sectorielles, nationales ou européennes évoquent les mêmes notions : sécuriser des accès aux données sensibles et personnelles, tracer et identifier des flux, documenter et produire des preuves en cas d’incident.
Pour devenir conforme dans un contexte réglementaire complexe, il convient alors d’aborder le sujet en cherchant à mutualiser procédures et outils. WALLIX, éditeur de logiciels de sécurité des accès et des données, a demandé à Sandra Noziere chef de projet i-Tracing, société experte en cybersécurité, d’identifier les bonnes pratiques pour aborder un projet de conformité dont celui du RGPD.
Entretien avec Sandra Noziere chef de projet i-Tracing, société experte en cybersécurité
- Comment le PAM permet-il de rationaliser les projets dans des environnements réglementaires complexes ?
Le PAM permet de répondre à plusieurs prérequis de conformité et met en évidence des similitudes entre les exigences de gestion des accès à privilèges induites par le RGPD et d’autres réglementations.
Par exemple la protection et la gestion des mots de passe, qui est une des fonctions standards du PAM, est une clause quasiment systématique dans une démarche de conformité. Il faut également assigner un utilisateur a un unique ID afin de s’assurer de la bonne traçabilité des accès aux données sensibles.
La mise en place du PAM peut donc se faire dans une démarche globale, et permet aux entreprises de rationaliser ses projets autour d’une solution simple répondant à plusieurs aspects réglementaires.
- Quels critères regardez-vous pour accompagner vos clients dans une démarche de conformité RGPD ? Quel rôle joue alors le Privileged Access Management ?
Les premiers principes du Règlement Général de Protection des Données sont la légitimité et la licéité des données. Ensuite, le fait de supprimer les possibilités d’identification des personnes par la pseudonymisation. Si l’entreprise, de par sa taille ou son secteur d’activité, est peu mature sur la Sécurité de son Système d’Information, les solutions de chiffrement sont fortement privilégiées pour les premiers travaux de mise en conformité RGPD.
Ces premières actions de mise en conformité ont alors pour cible les bases de données comportant toutes les informations sensibles d’une entreprise. Mais les données personnelles ne sont pas uniquement stockées en base ou sous des formats supportés par les solutions de chiffrement. Si le PAM n’a pas de rôle direct dans l’anonymisation des données, il permet de restreindre les accès aux autres modes de stockage, notamment pour les données non structurées. Les projets d’intégration de solution de PAM sont aussi l’occasion de revoir les droits des comptes à privilèges et de vérifier qu’ils respectent bien les principes du « moindre privilège ».
La mise en place d’une solution de PAM permet ainsi de limiter les accès trop permissifs sur toutes les ressources, y compris celles hébergeant des données non structurées telles que par exemple les serveurs de fichiers ou les GED – Gestion Electronique Documentaire. Sans oublier que le RGPD introduit l’obligation de signalement d’un incident impactant l’intégrité des données personnelles et ce dans les 72h. Là aussi, le PAM apporte sa contribution en permettant la traçabilité des actions effectuées via un compte à privilège. Ces traces pouvant aussi être utilisées lors de l’analyse post mortem des causes et de l’impact d’un incident.