Blog  

 +33 (0)2 51 39 00 92  Contact

Le compte à rebours vers le règlement général de l'Union européenne sur la protection des données à caractère personnel (RGPD) a commencé et le temps presse. Bien que les médias soient en ébullition avec des commentaires, des guides et des solutions pour les lignes directrices du RGPD, des interprétations concluantes de ses divers aspects n'ont pas encore été obtenues. Toutefois, l'objectif fondamental du RGPD est clair comme de l'eau de roche : la protection des données, et plus précisément la sécurisation des données personnelles.

L'expression "données à caractère personnel" suppose une couverture extrêmement large dans le RGPD toute donnée relative à "une personne physique identifiable" est classée comme donnée à caractère personnel. Habituellement, les organisations traitent et stockent numériquement des éléments tels que les noms de clients, les adresses électroniques, les photos, les informations sur le travail, les conversations, les fichiers médiatiques et bien d'autres informations qui pourraient identifier les individus.

Les données personnelles sont omniprésentes et se retrouvent dans quasiment tous les SI. Si votre organisation souhaite se conformer au RGPD, vous devez définir et appliquer des contrôles d'accès stricts et suivre méticuleusement l'accès aux données.

Accès privilégié et menaces à la sécurité des données

Les cyberattaques peuvent provenir à la fois du périmètre d'une entreprise et de l'extérieur. Les analyses des récentes cyberattaques très médiatisées révèlent que les pirates, tant externes qu'internes, exploitent un accès privilégié pour perpétrer des attaques. La plupart des attaques compromettent les données à caractère personnel qui sont traitées ou stockées par les applications et dispositifs informatiques. Les chercheurs en matière de sécurité soulignent que presque tous les types d'attaques cybernétiques impliquent de nos jours des comptes privilégiés.

Les comptes privilégiés, première cible des cybercriminels

Dans les attaques internes et externes, l'accès non autorisé et l'utilisation abusive de comptes privilégiés ( les "clés du royaume" ) sont apparues comme les principales techniques utilisées par les criminels. Les mots de passe administratifs, les comptes par défaut du système, ainsi que les codes d'identification codés dans les scripts et les applications sont devenus les principales cibles des cybercriminels.

Les pirates informatiques lancent généralement une simple attaque d'hameçonnage ou de harponnage pour s'implanter dans la machine d'un utilisateur. Ils installent ensuite des logiciels malveillants et recherchent les mots de passe administratifs tout-puissants qui donnent des privilèges d'accès illimités pour se déplacer latéralement sur le réseau, infecter tous les ordinateurs et siphonner les données. Dès que le pirate accède à un mot de passe administratif, toute l'organisation devient vulnérable aux attaques et au vol de données. Les dispositifs de sécurité périmétrique ne peuvent pas entièrement protéger les entreprises contre ces types d'attaques de privilèges.

Les parties tierces et les personnes malveillantes 

Les organisations sont tenues de travailler avec des tiers, comme les fournisseurs, les partenaires commerciaux et les entrepreneurs, à diverses fins. Très souvent, les partenaires tiers bénéficient d'un accès privilégié à distance aux ressources physiques et virtuelles de l'organisation.

Même si votre entreprise a mis en place des contrôles de sécurité robustes, vous ne savez jamais comment les tiers traitent vos données. Les pirates informatiques pourraient facilement exploiter les vulnérabilités de votre chaîne logistique ou lancer des attaques de phishing contre ceux qui ont accès à votre réseau et y accèdent. Il est impératif que l'accès privilégié accordé à des tiers soit contrôlé, géré et surveillé.

De plus, les personnes malveillantes, y compris le personnel informatique mécontent, les techniciens avides, les employés licenciés et le personnel informatique travaillant avec des tiers, pourraient installer des bombes logiques ou voler des données. L'accès administratif non contrôlé constitue une menace potentielle pour la sécurité, mettant en péril votre entreprise.

Commencez votre voyage RGPD avec la gestion d'accès privilégiée 

Contrôlez, surveillez et gérez l'accès privilégié de votre entreprise

Le RGPD exige des organisations qu'elles s'assurent du respect de leurs politiques de protection des données personnelles et qu'elles en fassent la preuve. La protection des données personnelles, à son tour, exige un contrôle total sur l'accès privilégié, le principe fondamental du RGPD. Contrôler l'accès privilégié nécessite les actions suivantes :

  • Consolidez tous vos comptes privilégiés et placez-les dans un coffre-fort centralisé et sécurisé.
  • Attribuer des mots de passe forts et uniques et appliquer une rotation périodique des mots de passe.
  • Appliquer des contrôles supplémentaires pour libérer les mots de passe des actifs sensibles.
  • Audit de tout accès aux comptes privilégiés.
  • Éliminez complètement les informations d'identification codées en dur dans les scripts et les applications.
  • Autant que possible, permettre l'accès à distance aux systèmes informatiques sans révéler les références en clair.
  • Appliquer des contrôles d'accès stricts pour les tiers et surveiller étroitement leurs activités.
  • Établir des contrôles doubles pour surveiller étroitement les sessions d'accès privilégié aux ressources informatiques hautement sensibles.
  • Enregistrer des séances privilégiées pour les vérifications forensiques. 

Comme expliqué plus haut, le contrôle, la surveillance et la gestion de l'accès privilégié nécessitent l'automatisation du cycle de vie complet de l'accès privilégié. Cependant, les approches manuelles de la gestion des accès privilégiés sont longues, sujettes aux erreurs et peuvent ne pas être en mesure de fournir le niveau de contrôle de sécurité souhaité.

ManageEngine Password Manager Pro automatise la gestion des accès privilégiés et vous aide à vous préparer pour le RGPD

Password Manager Pro est une solution complète pour contrôler, gérer, surveiller et auditer le cycle de vie complet d'un accès privilégié. Il offre trois solutions dans un package unique : la gestion de comptes privilégiés, la gestion d'accès à distance et la gestion de sessions privilégiées.

Password Manager Pro crypte et consolide tous vos comptes privilégiés dans une seule chambre forte centralisée, renforcée par des contrôles d'accès granulaires. Il atténue également les risques de sécurité liés à l'accès privilégié et prévient les atteintes à la sécurité et les problèmes de conformité avant qu'ils ne perturbent votre activité.

Ensemble, ces capacités vous permettent d'obtenir un contrôle total sur l'accès privilégié au sein de votre organisation, établissant ainsi une base solide pour la conformité à RGPD.

 

Clause de non-responsabilité :

Le respect intégral du RGPD exige une variété de solutions, de processus, de personnes et de technologies. Comme nous l'avons mentionné plus haut, l'automatisation de la gestion des accès privilégiés sert de base au respect du RGPD. Associée à d'autres solutions, processus et personnes appropriés, la gestion des accès privilégiés contribue à renforcer la sécurité informatique et à prévenir les violations de données. Ces éléments sont fournis à titre d'information seulement et ne doivent pas être considérés comme des conseils juridiques aux fins de la conformité à RGPD. ManageEngine ne donne aucune garantie, expresse, implicite ou légale, quant à l'information contenue dans ce matériel.

 

 

Vous avez la possibilité de créer un compte lors du téléchargement d'un produit.