lundi 22 juin 2015

L’authentification forte dans les collectivités, une obligation légale


Par Thierry Bettini, Ilex International et Hervé Fortin, Département de l’Aisne

La mise en place d’une solution d’authentification forte au sein d'une collectivité est, dans une grande majorité des cas, perçue comme une problématique technique par la DSI, qui cantonne trop souvent ce type de projet au simple remplacement du login/mdp devenu obsolète. Dans un contexte de restriction budgétaire au sein des collectivités, la DSI peine alors à justifier un tel projet, jugé trop coûteux et relégué au second plan des priorités.

Cependant, au-delà de sa dimension technique, la mise en place d’une solution d’authentification forte garantit sécurité et traçabilité des accès au système d’information. Ceci permet ainsi aux collectivités d’être conformes aux législations en vigueur et, notamment, aux obligations de protection des données à caractère personnel encadrées par la CNIL.

La responsabilité judiciaire du RSSI/DSI directement engagée


Nombreuses sont les collectivités qui valident la déclaration informatique et libertés sans maîtriser totalement les obligations qui en découlent. En effet, la loi informatique et libertés du 6 janvier 1978 (modifiée en août 2004) définit les principes à respecter lors de la collecte, du traitement et de la conservation des informations relatives à des personnes physiques. Le champ d’applications de cette loi est très large et concerne la majorité des traitements ou fichiers mis en œuvre par les collectivités locales pour gérer leurs nombreux services : état civil, listes électorales, inscriptions scolaires, action sociale et autres services à la population, etc.

« La création et le traitement de données personnelles (numéro d'identifiant, nom, adresse, numéro de téléphone...) sont soumis à des obligations destinées à protéger les libertés individuelles et la vie privée des personnes fichées », indique Thierry Bettini directeur commercial d’Ilex International. Celles-ci varient selon la nature du fichier et la finalité des informations recueillies : déclaration normale ou simplifiée ou demande d'autorisation. Il existe aussi des obligations de sécurité, de confidentialité et d'information.

Certaines données sont particulièrement sensibles selon les domaines et doivent faire l’objet d’autorisations spécifiques auprès de la CNIL. C’est le cas notamment des informations traitées dans le domaine social, où la confidentialité est essentielle, comme par exemple le traitement de signalement "enfance en danger". Seules les personnes habilitées doivent avoir accès à certaines informations.

Avec la transformation digitale, les collectivités locales gèrent de plus en plus de données personnelles mais en réalité, combien d’entre elles savent dire aujourd’hui avec exactitude qui a accès à quoi ?

Les contrôles réalisés par la CNIL montrent que de nombreuses collectivités ne respectent pas certaines règles de base de la loi informatique et libertés. Dans la majorité des cas, ces manquements résultent d’une méconnaissance de la loi ou de négligences, mais les infractions n’en restent pas moins réelles. « Les décideurs et responsables locaux doivent en prendre conscience car ils sont directement visés en cas de non-respect des dispositions de la loi : leur responsabilité juridique peut être engagée. Ils peuvent même, dans certains cas, être pénalement sanctionnés (peine de cinq ans d’emprisonnement et 300 000 € d’amende) », souligne Hervé Fortin, RSSI et CIL du Département de l’Aisne.

L’authentification forte, une garantie de conformité avec le cadre réglementaire régi par la CNIL


Pour faire face à ces contraintes réglementaires renforcées, la maîtrise et la sécurité des accès logiques doivent rester la priorité des collectivités.

« Renforcer les mécanismes d'authentification et les règles de contrôle d’accès logiques aux applications du SI permet d'éviter toute faille/fraude», explique Thierry Bettini. Ainsi, il est primordial de proposer plusieurs mécanismes d’authentification, à n facteurs (‘ce que je sais’, ‘ce que j’ai’, ‘ce que je suis’), en fonction des usages des agents (par exemple certains peuvent utiliser des cartes à puces, d’autres des clés USB, etc.), et du niveau de criticité des applications accédées. Certaines solutions packagées sont déjà proposées par les intégrateurs et éditeurs de logiciels qui permettent de répondre à ces problématiques efficacement.

Une fois l’agent authentifié, il est possible de contrôler les droits d’accès selon des critères divers et variés tels qu’un niveau d’authentification primaire (n facteurs), un créneau horaire, un profil utilisateur récupéré dans l’annuaire d’entreprise, etc.

Et de préciser que « les authentifications, autorisations et délégations des agents doivent impérativement être tracées afin de garantir la bonne conformité avec les législations en vigueur et répondre aux exigences d’audit ».

Le RSSI/DSI d’une collectivité locale doit homogénéiser et renforcer l’authentification sur les applications dont il contrôle et trace les accès. Il pourra se dégager ainsi de toute sanction juridique relative à la confidentialité des données traitées au sein de la collectivité.

« Quelles que soient leurs tailles, toutes les collectivités sont concernées» conclut Hervé Fortin. En revanche, toutes ne mesurent pas les engagements qu’elles prennent en se déclarant conformes, ni les risques encourus en cas de contrôle de la CNIL. Une vraie prise de conscience des obligations légales est nécessaire, comme c’est le cas dans d’autres secteurs (exemple : secteur bancaire) afin de faire de la gestion des accès une véritable priorité.