Effectuez-vous une gestion des tiers sensibles dans votre système d’information ?
En informatique, on appelle tiers sensible toute personne ou société susceptible d’intervenir sur votre réseau, comme le technicien de votre photocopieur ou la société qui effectue la maintenance de votre serveur. Ces tiers ont souvent un accès complet à vos données. Voici quelques conseils pour vous assurer une bonne confidentialité.
Identifier les tiers et les risques
Une bonne gestion des tiers sensibles commence par un inventaire des intervenants sur votre système d’information. Cet inventaire est très souvent réalisé sous forme d’un tableau présentant le nom de la société et des personnes et leurs coordonnées. Une bonne communication interne vous permettra de bloquer l’intervention d’une personne non présente sur cette liste et ainsi d’éviter que n’importe qui fasse n’importe quoi !
Une fois cet inventaire en place, il faut déterminer le juste niveau d’autorisation pour chaque intervenant. Il est, par exemple, inutile voir dangereux que le technicien de photocopieur possède le mot de passe du compte Administrateur ou que l’éditeur de votre logiciel de comptabilité puisse accéder à votre serveur sans que vous en soyez informé.
Conseil n°1 : recenser les intervenants et donner leurs un accès conforme à leurs missions.
Disposition contractuelle et opérationnelle
Une fois les tiers identifiés, il faut valider contractuellement les conditions d’accès à votre réseau informatique. La plupart du temps, il n’y a pas de clause explicitant ces conditions. Il faut les exiger. Ces clauses doivent décrire le cadre juridique mais aussi le cadre opérationnel : quelle personne, à quoi et pourquoi, quand, comment, … Le « comment » est très important car il permet de mettre en évidence des solutions de télémaintenance, c’est-à-dire des accès externes non déclarés à votre système d’information.
Conseil n°2 : relisez les contrats de maintenance et demander des avenants.
Revue de tiers
Une fois l’inventaire physique, contractuel et opérationnel en place, il reste une dernière étape : la réalisation d’une revue de tiers. Cette revue semestrielle ou annuelle permet de valider que les engagements pris avec les intervenants sont bien respectés. Des opérations plus ou moins complexes sont nécessaires comme l’analyse d’un logiciel installé sur un serveur, la conformité des droits d’accès ou la configuration de votre routeur. N’hésitez pas à vous faire accompagner par un spécialiste.
Conseil n°3 : réaliser régulièrement des revues de tiers.
La confidentialité de vos données : la menace peut venir de l’intérieur
En général, les systèmes d’information sont très bien protégés d’une attaque extérieure mais très perméables de l’intérieur car le mot de passe du serveur est connu d’un trop grand nombre de personne.
En appliquant ces règles simples, vous diminuez sensiblement le risque d’accès à vos données.