Par Aymen ZRIBI — expert RGPD et consultant d’iviData EXPERTISE

RGPD, un règlement qui tourne essentiellement autour de deux concepts majeurs, le respect de la vie privée et la protection des données personnelles. Le règlement vise à redonner aux personnes concernées le contrôle sur leurs données personnelles.

© Freepik

RGPD introduit aussi une augmentation des sanctions, en effet dès la rentrée en vigueur du règlement, à savoir le 25 Mai 2018, les autorités de contrôles pourront infliger, selon les cas, des sanctions de 20M€ ou 4% du CA.

En s’arrêtant sur ces chiffres astronomiques en pourrait facilement passer à côté du but, il est vrai qu’à première vue ce règlement peut être synonyme de contrainte pour le business, mais une analyse plus approfondie démontre qu’elle cache derrière lui une opportunité en or pour les différentes organisations.

L’impact du RGPD est très large et touche un grand nombre de fonctions (métier, juridique, risque, IT, SSI…), cela veut dire que la protection des données personnelles et le respect de la vie privée est devenu un facteur important au niveau de la stratégie business. Ainsi le RGPD devient un catalyseur du changement au-delà de la simple conformité.

RGPD et les systèmes de gestion d’identité et d’accès

L’identité des personnes concernées est un actif à grande valeur, il est nécessaire de mettre en place les mesures organisationnelles et surtout techniques afin d’assurer la disponibilité, la confidentialité et l’intégrité des données personnelles qui constituent l’identité du collaborateur, client ou partenaire.

Une stratégie forte de gestion d’identité et d’accès (IAM) est un élément important de tout programme visant à mettre les organisations en conformité avec le règlement général sur la protection des données -RGPD-.

Les systèmes de gestion d’identité et d’accès (IAM), s’ils sont bien implémentés, répondent de manière parfaite à la gestion du consentement, la gestion des droits des personnes concernées (droit d’effacement, d’accès, de limitation…) et la notification des violations des données.

Aujourd’hui plusieurs organisations sont dans l’incapacité de détecter une violation de données personnelles, et celles qui sont capable de le faire trouvent une grande difficulté à identifier quelles sont les personnes à informer. L’IAM permet aux organisations d’identifier de manière rapide et efficace les données personnelles qui ont fait l’objet d’une violation et faire le lien avec les personnes concernées pour ensuite déclencher un processus de notification.

Focus sur la sécurité de l’IAM

Sécuriser l’infrastructure IAM est un facteur clé dans la réalisation des principaux objectifs du RGPD. Voici quelques actions à mettre en place pour assurer un niveau de sécurité adéquat :

  • Mettre en place une authentification forte, il est important de considérer des solutions qui supportent le FIDO, U2F, TOTP, SMS/Email OTP ;
  • Ne pas partager l’infrastructure IAM entre les clients et les collaborateurs ;
  • Mettre en place une politique d’accès et une analyse des impacts de tout changement de cette politique ;
  • Mettre en place un IdA (Identity analytics) : l’IdA automatise la détection des risques d’accès, ainsi que les comptes dormants, les erreurs d’attribution, la persistance d’accès, la violation de séparation des tâches, etc. Il réduit la surface d’attaque des identités en remplaçant les rôles définis à travers un processus manuel, par des rôles intelligents fondés sur du Machine Learning ;
  • Auditer les différentes interactions avec l’infrastructure de gestion d’identité et d’accès (pas seulement par les administrateur IAM mais aussi par les administrateurs système) ;
  • Mettre en place un système de gestion des comptes privilégiés (PAM) au sein de l’infrastructure de gestion d’identité et d’accès ;
  • Protéger l’intégrité des données personnelles au repos en considérant le chiffrement de disque ou le chiffrement de bases de données. L’utilisation du TLS lors du transfert des données est aussi très importante ;
  • Mettre en place un plan de continuité d’activité ainsi qu’un plan de reprise d’activité afin d’assurer une très haute disponibilité.

D’un point de vue business, la raison principale d’avoir une stratégie IAM est l’importance croissante en termes de gestion de l’identités, non seulement pour se conformer au RGPD, mais aussi pour améliorer la vision de l’entreprise sur ses clients ou collaborateurs et sa relation avec eux.

A propos de l’auteur :

Ingénieur réseaux et télécommunications spécialisé en management des SI, avec un grand intérêt pour les problématiques Privacy et un penchant pour les nouvelles technologies, notamment, la BlockChain.