La fuite de renseignements personnels chez certaines grandes entreprises est venue mettre en relief la nécessité de revoir l’approche préconisée jusqu’ici
L’actualité récente a démontré l’urgence pour les entreprises comme pour les institutions de revoir la gouvernance, la gestion des identités et le contrôle des accès dans le Système d’Information. La médiatisation des déboires de la Deutsche Bank en Europe et de sociétés nord-américaines comme Capital One Financial Corporation, aux États-Unis, et du Mouvement Desjardins, au Canada, n’est peut-être que la partie émergée de l’iceberg. Et ce test de réalité ne se limite pas qu’aux banques.
En vertu de la Loi sur la programmation militaire, promulguée le 13 juillet 2018, les opérateurs d’importance vitale (OIV) ont deux ans pour se conformer à l’obligation de se doter de systèmes de sécurité certifiés afin de se prémunir contre les cyberattaques. Cette loi touche près de 250 entreprises du secteur bancaire, de la santé, de l’énergie, des télécoms…
Mais cette obligation pose un défi majeur à ces entreprises, de même qu’à la plupart des organisations devant protéger les données personnelles de leurs clients. Pourquoi ? Tout simplement parce que l’approche actuelle appliquée à la gestion et aux accès est à la fois inefficace et trop lourde pour ces sociétés.
Le cas de la Deutsche Bank est pour le moins révélateur. Le Financial Times rapportait récemment qu’une cinquantaine de courtiers de Londres et New York auraient gardé leurs accès aux serveurs et à leur messagerie électronique alors qu’ils avaient été remerciés ! L’un d’entre eux a même pu envoyer pas moins de 450 messages en se connectant à distance. Pourtant, cette situation aurait pu être facilement évitée grâce à une meilleure gouvernance.
Dans le cas du Mouvement Desjardins, la fuite des données a été orchestrée par un employé malveillant dont le poste lui donnait accès à ces informations sensibles. Difficile de prédire, aujourd’hui encore, ce type de comportement, mais devait-il vraiment avoir accès à ces données ?
Pour prévenir ce genre de situation, les sociétés doivent se tourner vers des solutions allégées dites de « Lean Management » qui permettent aux organisations de répondre aux exigences réglementaires tel que le RGPD (Règlement Général sur la Protection des Données). Les solutions sont rapides à déployer et ne viennent pas bousculer inutilement les activités de l’entreprise. Elles peuvent veiller à ce que les bonnes personnes bénéficient de l’accès approprié au bon moment, tout en protégeant les actifs vitaux d’une entreprise contre un accès non autorisé.
L’approche Lean Management se concentre notamment sur les risques. Ainsi, pour optimiser la gestion des identités et des accès, il faut évaluer continuellement les nouveaux défis de l’organisation. De plus, les entreprises négligent aussi d’intégrer stratégiquement les risques économiques et commerciaux aux processus de conception de profils de postes et d’admissibilité.
Puis, il faut chercher, dans la mesure du possible, à automatiser les processus de gouvernance des accès. L’idée est de réduire au minimum le travail manuel — donc les erreurs — consacré aux accès, à leur approbation et à leur renouvellement par recertification.
Comme nous savons maintenant que le XXIe siècle sera celui des données, il importe plus que jamais de s’attaquer à leur gestion et à leur protection. Il en va de la réputation des organisations.