Data

data access right (DAR)

data access right (DAR)

Un droit d’accès aux données (DAR) est une autorisation qui a été accordée et qui permet à une personne ou à un programme informatique de localiser et de lire des informations numériques au repos. Les droits d’accès numériques jouent un rôle important dans la sécurité et la conformité des informations.

En matière de sécurité de l’information, par exemple, les DAR accordés aux clients, aux serveurs et aux dossiers d’un système peuvent aider les administrateurs à distinguer l’accès autorisé aux données de l’accès non autorisé. En matière de conformité, les DAR sont souvent accordés aux personnes concernées par la loi. Par exemple, en vertu du règlement général sur la protection des données (RGPD) de l’Union européenne, une personne concernée a le droit d’accéder à ses propres données personnelles et de demander une correction ou un effacement.

Pour éviter de perdre ou de corrompre des données d’entreprise, les organisations ne doivent accorder à chaque utilisateur que l’accès nécessaire requis, un concept connu sous le nom de principe du moindre privilège (POLP). Pour garantir la confidentialité, les informations ne doivent être utilisées que par le personnel autorisé. Pour maintenir l’intégrité des données, celles-ci ne doivent pas être modifiées accidentellement ou volontairement. En outre, pour assurer la disponibilité des données, le système doit fonctionner dans les limites des niveaux de service requis.

Meilleures pratiques en matière de droits d’accès aux données
Pour éviter les problèmes de contrôle d’accès aux données, les pratiques suivantes sont recommandées :

Les politiques de sécurité de l’entreprise doivent préciser ce que les employés peuvent et ne peuvent pas faire sur leurs ordinateurs. Par exemple, les utilisateurs individuels auront-ils la permission d’autoriser les courriels personnels, le téléchargement de fichiers, l’installation de logiciels, la propriété d’informations et l’accès autorisé ou non à des sites Web.
Les données doivent être classées en fonction de leur degré de confidentialité (et des risques associés à une fuite) et de criticité (l’intégrité et le risque d’altération ou de destruction).
Le contrôle des données doit être établi en utilisant l’autorisation ou l’authentification requise et en employant la traçabilité (qui consiste à suivre l’accès aux ressources informatiques sensibles).
Des audits détaillés doivent être effectués régulièrement pour aider à mettre en place des contrôles concernant la gestion des identités, les utilisateurs privilégiés et l’accès aux ressources.
Les droits des utilisateurs doivent être limités. Par exemple, Windows 10 propose des comptes standard et administrateur, mais la plupart des utilisateurs devraient se contenter de comptes standard pour accomplir leurs tâches quotidiennes.

Ecrire un commentaire