Pour être sécurisées, les données doivent être pilotées par le dirigeant de l’entreprise, son représentant le cas échéant, mais qui doit être porté par toute l’équipe dirigeante dans un enjeu partagé avec tous.
Les mesures de sécurité doivent être évaluées régulièrement pour vérifier leur efficacité.
Garder une démarche continue de l’amélioration.
Appliquer en permanence le principe du « moindre privilège » sur les profils d’habilitation qu’il y aura lieu d’attribuer.
Cette action limite conséquemment les usurpations de compte ou les erreurs dommageables de manipulation.
Vous avez à définir les profils d’habilitation dans le système en distinguant les tâches et les responsabilités qui y sont attachées, de manière à ce que les utilisateurs n’aient accès qu’aux seules données nécessaires à la réalisation de leurs missions.
Faites valider les habilitations par un membre de votre personnel habilité à agir.
Ce qu’il ne faut surtout pas faire :
Créer des comptes partagés pour des utilisations communes par plusieurs personnes, en omettant le traçage nécessaire dans la règle de sécurité et sans le faire valider par la personne dévolue.
Donner des droits d’administrateurs à des utilisateurs alors que leurs fonctions ne leur permettent pas d’y accéder.
Ne pas accorder de privilèges plus que nécessaires à un utilisateur.
Oublier de vérifier pour les retirer les habilitations temporaires attribuées à un utilisateur, alors que les fonctions qu’il avait à remplir sur un remplacement sont terminées.
Oublier de supprimer les comptes des utilisateurs à des personnes ayant quitté la structure ou ayant changé de fonctions ou de services.