La gestion des identités et des accès est essentielle pour la conformité GDPR

GDPR est enfin à nos côtés et, quelques heures à peine après son entrée en vigueur Google et Facebook ont reçu des plaintes de confidentialité pouvant entraîner des amendes pouvant atteindre 9,3 milliards de dollars. Cela démontre clairement que l'Union européenne (UE) est très disposée à agir et que les entreprises du monde entier doivent être prêtes à accepter le GDPR si elles ont des activités en Europe. Dans ce premier blog, j'examinerai comment une stratégie efficace de gestion des identités et des accès (IAM) est au cœur de la conformité au RGPD.

Je ne veux pas relire tous les détails sur GDPR, mais il suffit de dire que le but de la législation est de changer radicalement la relation entre les individus et les entreprises dans le traitement des informations personnelles. L'individu – clients, employés, sous-traitants, fournisseurs – a désormais beaucoup plus de contrôle sur la manière dont leurs informations sont collectées, stockées, traitées, utilisées et partagées.

En fait, le traitement des violations de données est l'élément central du GDPR, ce qui rend étrange que l'on se concentre davantage sur la protection des données que sur les violations de données. gestion de l'identité. Comme je l'ai dit dans les blogs précédents les organisations ne peuvent plus adopter une vision centrée sur l'IAM lorsque le périmètre du réseau est plus poreux chaque jour. Vous devez trouver des moyens pour permettre un accès contrôlé et sécurisé aux employés, aux partenaires, aux travailleurs mobiles, aux sous-traitants et aux clients. Dans ce contexte, GDPR exige que vous prêtiez une attention particulière à la manière dont tous les acteurs accèdent aux données sensibles et personnelles que vous détenez.

Le coût des violations de données

En 2015, Hilton Hotels a reçu une amende de 700 000 $. Selon une estimation de l'industrie l'amende aurait pu être de 420 millions de dollars en vertu du RGPD. Ce chiffre attirera l’attention de toute entreprise lorsque l’on considère l’éventail des menaces d’information sur les initiés et les étrangers qui se produisent actuellement. En 2017, Security Intelligence a rapporté que 75% des infractions provenaient d'initiés et, selon le Ponemon Institute la cause la plus probable d'atteintes à la sécurité des données est suivie par des initiés malveillants. suivi par des pirates informatiques externes.

Pensez-y: est-ce que vous ou votre collègue pourriez, par inadvertance, mener à une violation des informations ou des systèmes? Malheureusement, Reddit vient justement de .

Sous GDPR, toutes les menaces à la confidentialité des données doivent être soigneusement gérées. Bien que la réglementation relative à l'IAM ne soit pas très explicite, GPDR demande que "Privacy by Design" soit diffusé via une implémentation technique qui doit inclure une "authentification de l'utilisateur". Cela nécessite une stratégie et une plate-forme IAM offrant un accès contrôlé aux informations personnelles sensibles que vous détenez pour tous ceux qui accèdent à ces données, à partir du moment où l'utilisateur y a accès.

Implémentation d'une stratégie IAM pour GDPR

Pour être conforme à GDPR, vous devez vous assurer que les données personnelles ne sont accessibles qu'aux personnes concernées, dans le but explicite de leur collecte et pendant la période est requis. La minimisation des données est un thème clé de la réglementation. Vous devez vous assurer de conserver le moins de données possible sur chaque individu. Une façon de penser à la minimisation des données est IAM: vous devez fournir le minimum d'accès nécessaire.

Cependant, même si l'accès doit être limité au minimum, l'authentification et l'autorisation que vous appliquez ne peuvent pas être. Par exemple, de nombreuses entreprises créent des fonctionnalités SSO (Single Sign On) centrales pour tous leurs actifs d'entreprise. Cela semble offrir à la fois plus de commodité à l'utilisateur et de sécurité pour l'organisation, mais s'il est appliqué de manière universelle, ce sera un drapeau rouge pour le GDPR.

Le danger est que les utilisateurs obtiennent un accès général aux ressources pour lesquelles ils n'ont pas autorisation. Lorsqu'il est possible de donner ce type d'accès général lorsque les données personnelles et sensibles ne sont pas impliquées, une authentification multifactorielle sera nécessaire pour garantir que la personne est ce qu'elle dit être et qu'elle a des droits d'accès lorsqu'elle traite des données personnelles. données

Pour la plupart des organisations, votre stratégie IAM comportera trois éléments:

1. Employés

Il ne suffit pas de savoir quelles données personnelles vous avez et à quels employés et départements ont accès. Pour GDPR, IAM doit être beaucoup plus granulaire. Vous devez savoir où sont stockées toutes vos données sensibles, qui a accès aux données et le niveau d’accès dont elles disposent. Vous devez être en mesure de gérer rapidement le changement de statut pour surmonter le «glissement des droits» lorsque le rôle d'un utilisateur change et se voir accorder un nouvel accès sans désactiver ses anciens droits d'accès. De plus, vous devez identifier et éliminer les «comptes fantômes». Selon des recherches de l’industrie, pas moins de un quart de tous les comptes sont inactifs et cela devient une cible de plus en plus importante pour les pirates informatiques.

2. Partenaires et sous-traitants

Il ne reste peut-être plus aucune entreprise où les données personnelles restent dans leurs quatre murs. Le partage et la collaboration sur les données sont essentiels pour de nombreuses organisations travaillant avec des écosystèmes complexes de partenaires. En outre, ces entreprises dépendent de plus en plus du personnel contractuel et des travailleurs mobiles. Surtout si vous êtes un contrôleur de données – la personne qui détermine l'objectif et le moyen de traiter les données personnelles – vous devez être en mesure de garantir un accès correct aux données conservées au-delà du pare-feu de l'entreprise. Cela impliquera une authentification fédérée omniprésente afin de gérer non seulement toutes les données personnelles, mais également les interactions entre les utilisateurs ayant accès à ces données.

3. Clients

Ce ne sont pas seulement les grandes entreprises de commerce électronique qui permettent aux clients d'accéder plus directement au réseau de l'entreprise. Toute organisation offrant des services en ligne, gouvernementaux et privés, permet à ses clients de créer des identités numériques. Celles-ci comprennent toutes des fonctionnalités de libre-service et, le plus souvent, fonctionnent avec une simple authentification par mot de passe. Il s'agit d'une vulnérabilité et vous devez appliquer les mêmes concepts GDPR de minimisation des données et d'authentification sécurisée des utilisateurs.

Dans le passé, de nombreuses organisations ont mis du temps à implémenter une stratégie IAM d'entreprise. Cela déplace le besoin de protéger les données personnelles au-delà de l'employé pour englober les partenaires, les fournisseurs, la main-d'œuvre mobile et les clients. Il est difficile de voir comment une organisation peut se conformer à la réglementation sans adopter cette approche.

Les approches traditionnelles ont souvent tourné autour de processus simples de contrôle d'accès manuel, tels qu'Active Directory pour établir des groupes. L'inconvénient est que ces processus sont lents, encombrants et coûteux, ainsi que le fait qu'ils ne s'adaptent pas bien et échouent souvent à surveiller ou à gérer l'accès réel des utilisateurs.

Ce n'est plus acceptable pour GDPR et IAM doit devenir un effort stratégique pour toutes les organisations. Toutes les entreprises doivent prendre en compte le besoin urgent de créer et de mettre à jour en permanence un programme de gouvernance des identités grâce à une plate-forme IAM d'entreprise qui fournit des fonctionnalités d'authentification et d'authentification dynamiques et complètes à votre organisation et à votre réseau de partenaires commerciaux. Ainsi, vous pouvez protéger l’accès aux informations personnelles dans votre organisation, minimiser le risque de violation des données et réduire votre exposition aux amendes.

Si vous souhaitez en savoir plus sur la façon dont une stratégie IAM efficace peut vous aider à sécuriser l’accès aux données GDPR nécessite, s'il vous plaît contactez-moi via ce blog. Dans mon prochain blog, j'examinerai plus en détail le rôle joué par IAM dans la satisfaction des exigences de protection des données dans le cadre du GDPR.