Droit d’accès et comptes à privilèges

Droit d’accès et comptes à privilèges

Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.


Les clés d’une bonne démarche du BYOD

Cédric Girardclos, d’Adjungo, a répertorié les dix bonnes étapes d’une mise à jour de politique de BYOD : 

  1. L’utilisateur demande un accès pour son terminal personnel. 
  2. Son manager direct valide la demande. 
  3. Il faut vérifier la conformité du terminal au pré-requis. 
  4. Il faut formaliser l’accord utilisateur-entreprise. 
  5. Il faut inscrire le terminal dans la solution de gestion. 
  6. Il faut configurer la politique de sécurité. 
  7. Il faut installer les applications mobiles. 
  8. Il faut régulièrement contrôler le respect des exigences. 
  9. Il faut verrouiller/effacer de façon sélective le terminal si nécessaire. 
  10. Il faut mettre à jour la politique.

La démarche de BYOD chez Orange

Hubert Ségot, directeur de l’infogérance et du service aux utilisateurs, a conduit début 2011 une démarche de BYOD chez Orange. Il explique : « avec l’arrivée de l’iPhone, qui n’était pas au catalogue interne, nous avons constaté qu’un certain nombre de salariés le substituaient à leur PDA professionnel. Cela nous a amené à réfléchir sur le sujet. La conclusion en a été d’accompagner le phénomène du BYOD. Nous avons mis en place un groupe de travail qui incluait en premier lieu les RH, la Sécurité, le Juridique et la DSI, sous parrainage du Comité Exécutif. Les principales questions étaient moins techniques que fiscales (est-ce un avantage en nature ?), légales (protection des données personnelles du salarié ? des informations de l’entreprise ? investigation sur le terminal ? droit d’effacement à distance en cas d’alerte de sécurité ?), ou financières (quel surcoût pour mettre en place la solution ? quel calendrier ?) par exemple. Le Marketing (opérateur télécom oblige !) a été associé et moteur dans cette démarche, dont il a tiré parti pour compléter son catalogue d’offres mobiles Entreprises », témoigne-t-il.

Question sécurité, la liste des mobiles compatibles avec la plate-forme BYOD est limitée (mais recouvre la plupart des terminaux actuels du marché), car il faut que les équipements amenés par les salariés acceptent les mêmes dispositifs de sécurité (mots de passe, certificats, etc.), que ceux de la dotation interne d’Orange. Enfin, précisons que ceci reste un phénomène limité : de l’ordre de 5 % des utilisateurs, en général technophiles et multi-équipés. « Sur le principe, les salariés y sont très favorables ; à titre d’illustration, nous avons reçu beaucoup de mails de félicitations lorsque les tablettes ont été reconnues par le système. Mais je souligne que le BYOD n’est pas une obligation, puisque l’Entreprise fournit l’outil de travail. C’est une possibilité. Au salarié de décider librement s’il veut l’exercer », conclut Hubert Ségot.

Autres Dossiers Protection des données