Aujourd’hui toute entreprise, quel que soit sa taille, sa localisation ou son secteur d’activité, doit constamment se conformer aux normes et réglementations imposées par les institutions compétentes en charge de la régulation et du contrôle de ses activités.
Règlement Général sur la Protection des Données (RGPD), directive ‘Network and Information Security 2’ (NIS2) sur la sécurité des réseaux et des systèmes d’information, nouvelle directive européenne sur les Services de Paiement (DSP2), politique générale de sécurité des systèmes d’information de santé (PGSSI-S) … les réglementations visant à codifier la sécurité du SI sont de plus en plus nombreuses et illustrent la prise de conscience générale : la cyber sécurité est une priorité absolue.
Maîtriser sa stratégie de gestion des identités et des accès contribue à la mise en conformité de votre entreprise avec les réglementations en vigueur dans votre secteur d’activité. En cas de non-conformité, de lourdes sanctions juridiques et/ou financières peuvent être appliquées à l’entreprise et ses dirigeants.
Maîtriser les habilitations de vos utilisateurs afin de vous conformer aux exigences réglementaires
La réglementation souligne l’importance de la visibilité et du contrôle concernant les droits et les autorisations d’accès des utilisateurs du SI. Ainsi, il est impératif de savoir qui peut accéder à quoi sur votre SI, qui devrait y avoir accès et de tracer les opérations effectuées avec cet accès. Vous devez vous assurer régulièrement que les habilitations des utilisateurs de votre SI sont bien conformes à votre politique de sécurité.
La revue des habilitations peut s’avérer complexe et particulièrement laborieuse lorsqu’elle est effectuée manuellement. Afin de répondre aux besoins d’analyse de manière quasi immédiate et fiable, il est préférable d’industrialiser ce processus en s’appuyant sur l’IAM.
Une plateforme IAM adaptée permet de disposer d’une vue centralisée des droits d’accès de vos utilisateurs à votre SI et de garantir la traçabilité des actions menées, éléments indispensables de la conformité. Il est alors simple de garantir le contrôle et de prouver aux auditeurs la légitimité des droits accordés aux utilisateurs, ainsi que les procédures et actions en place pour réduire le risque opérationnel en cas d’erreur. Les processus de contrôle sont alors simples et fluides et la charge associée considérablement réduite.
Focus :
Les Audits des Commissaires
aux Comptes
Dans le cadre de leur mission, les commissaires aux comptes réalisent des audits informatiques qui ont vocation à confirmer que le système d’information fonctionne correctement et participe à l’intégrité des états financiers. L’objectif est de vérifier le fonctionnement des applications de l’entreprise et leur contribution à la qualité des processus, à la mise en œuvre d’un contrôle interne pertinent et à la maîtrise des risques de fraude. Pour cela, une analyse des habilitations est requise afin d’identifier les facteurs qui permettent d’augmenter ou de diminuer le besoin de protection d’une application, d’apprécier globalement ce besoin et de vérifier que les habilitations mises en place par l’entreprise sont adéquates.
Renforcer le contrôle d’accès à votre SI : un élément clé de la mise en conformité
Renforcer l’accès de ses utilisateurs au SI est un point clé de la conformité réglementaire dans de nombreux secteurs d’activité où les données sont sensibles, comme ceux de la santé ou la finance par exemple et pour lesquels la confidentialité est une condition sine qua non. L’entreprise a l’obligation de démontrer qu’elle dispose de capacités de contrôle d’accès robustes et cohérentes afin de protéger les données de tout accès non autorisé.
En première ligne de défense, l’IAM a pour objectif d’assurer que seuls les utilisateurs qui y sont autorisés ont accès au SI. En vous appuyant sur une plateforme IAM, vous vous assurez d’un excellent niveau de finesse dans la définition de vos règles de contrôle d’accès aussi bien pour des cinématiques 100% web que purement « poste de travail » ou mobiles.
L’authentification forte et toutes ses déclinaisons – telles que l’authentification ‘MFA’, pour ‘Multi-Factor Authentification’, l’authentification adaptative ou l’authentification basée sur le risque – évite qu’un simple mot de passe soit suffisant pour obtenir un accès aux systèmes sensibles.
Ces fonctionnalités vous permettent de mettre en place différents degrés de sécurité en fonction des profils et rôles de vos utilisateurs, ainsi que de leurs contextes de connexion. Vous pouvez renforcer ou alléger le niveau de sécurité des accès à votre SI et vos applications en fonction du degré de vulnérabilité des données visées.
Répondre aux exigences réglementaires ou légales relatives à la sécurité et à la confidentialité des données passe inexorablement par le contrôle des accès aux données.
Quelques exemples de réglementations
En cas d’audit, si l’entreprise s’appuie sur une stratégie IAM solide, elle peut prouver qu’elle dispose de mesures pour réduire le risque de vol ou d’utilisation abusive de données. L’IAM peut également aider à répondre aux critères plus spécifiques associés aux différentes réglementations. Parmi celles-ci :
DSP2 : Directive européenne sur les Services de Paiement 2ème version
- Objectif : favoriser l’innovation, la concurrence et l’efficience du marché et plus précisément moderniser les services de paiement en Europe au profit des consommateurs et des entreprises.
- Entrée en vigueur : 13 janvier 2018, avec un délai d’adaptation de 18 mois après la publication au JO de l’UE des normes techniques.
- Obligation concernant l’accès aux données : l’authentification forte est imposée pour les paiements en ligne de plus de 30 euros, la création de virements permanents et les autorisations de prélèvements. Les agrégateurs de comptes et prestataires de paiement devront aussi passer par l’authentification forte pour se connecter aux banques et récupérer les données de leurs usagers.
RGPD : Règlement Général sur la Protection des Données
- Objectif : harmoniser le panorama juridique européen en matière de protection des données personnelles.
- Entrée en vigueur : 25 mai 2018
- Obligation concernant l’accès aux données : au-delà du principe du consentement à la collecte et à la conservation des données, la nouvelle réglementation étend les responsabilités des entreprises et leurs obligations d’assurer la sécurité des informations de leurs clients. Les entreprises doivent tout mettre en œuvre pour sécuriser efficacement leur système d’information. Renforcer la sécurité des accès en s’appuyant sur l’authentification forte est un premier pas pour se mettre au niveau de sécurité exigé par le RGPD.
NIS 2 : Directive Network and Information Security 2
- Objectif :Renforcer la cybersécurité en Europe en protégeant les entreprises et services publics critiques contre les cyberattaques. Évolution de la directive NIS de 2016, la NIS 2 impose des mesures de sécurité plus strictes, élargit son champ d’application à de nouveaux secteurs essentiels, et inclut désormais les entités importantes telles que les moyennes entreprises des secteurs critiques.
- Entrée en vigueur : 16 janvier 2023
- Obligation concernant l’accès aux données : La directive NIS 2 exige la mise en place de mesures de sécurité renforcées pour protéger les accès aux systèmes critiques, avec une forte recommandation pour l’utilisation de l’authentification multifacteur. Elle impose également un volet « contrôle et audit » pour vérifier le respect des exigences, ainsi qu’une obligation de signaler les incidents de sécurité dans un délai de 24 à 72 heures. Dans ce cadre, la traçabilité des opérations d’authentification et des ressources accessibles par les utilisateurs devient un atout essentiel pour se conformer efficacement.