Les droits d'accès et la politique de sécurité

Publié le mardi 13 décembre 2016 par Virginie Cours


La Politique de Sécurité du Système d’Information, ou PSSI, est un ensemble de documents validés par la direction de l’établissement qui détaillent précisément ce qui est autorisé et ce qu’il est interdit de faire sur et avec le système d’information.

Ces documents sont les références qui permettront ensuite d’autoriser ou de restreindre l’accès au système d’information et, plus précisément, à certaines de ses données.

De la PSSI découlent les chartes (d’utilisation des moyens informatiques, d’utilisation de l’accès à Internet). Ces chartes sont un moyen de transférer le risque aux utilisateurs en les responsabilisant. Quand on sait l’importance du facteur humain dans le risque informatique, la responsabilisation des usagers est primordiale.

De la même manière, il convient pour tout indivdu, professionnel de santé exerçant en libéral par exemple, de prendre conscience des risques auxquels il s’expose en:

  • créant des dossiers médicaux contenant des données personnelles

⇒ il doit s’assurer de la confidentialité des données. Et ce ne sont plus les même contraintes pour des données numériques que pour des dossiers papiers rangés dans une armoire fermée à clés. D’autant plus si les dossiers peuvent être accessibles depuis Internet ou s’ils sont transportés sur supports mobiles (clé USB, disque dur amovible) auprès du patient (risque de perte ou de vol)

⇒ il doit s’assurer de l’intégrité et de la disponibilité des données, notamment par le biais de sauvegardes.

  • offrant un accès Internet à des tiers

⇒ celui qui offre un accès Internet devient opérateur et endosse une certaine responsabilité vis à vis de ce qui est effectué à travers son réseau. Ainsi il est responsable de la sauvegarde des traces d’accès à Internet et peut devoir les fournir sous commission rogatoire ou réquisition judiciaire. Il lui appartient donc de pouvoir identifier qui a réalisé telle ou telle connexion (information disponible dans les logs de connexion dès lors qu’il y a eu une phase d’authentification, sinon c’est la carte réseau du PC qui est authentifiée).

⇒ faire signer une charte d’utilisation de l’accès Internet à ses employés permet de rappeler aux utilisateurs leurs droits et leurs responsabilités, ce qui s’apparente à un transfert de risque. Car comme nous l’avons vu précédemment, certaines pratiques sont interdites par la loi:

  • téléchargements illégaux
  • activités pédophiles
  • incitation à la haine raciale
  • action de SPAM, de piratage, diffusion de virus
Chargement en cours