Dans un système informatique, il est recommandé de limiter les droits d’accès des comptes des utilisateurs, car cela permet de protéger le système et éviter que toutes les ressources puissent être lues, modifiées ou supprimées, dans le cas où le compte serait compromis.

En l’absence de restrictions ou en attribuant des droits d’accès surdimensionnés, les conséquences d’une défaillance seraient plus importantes, surtout dans le cas où :

  • un utilisateur serait malveillant ;
  • le mot de passe d’un utilisateur serait compromis ;
  • une machine contiendrait un programme malveillant, comme un virus ou un « ransomware ».

Si les conséquences peuvent être limitées pour un particulier, la situation est complètement différente dans un contexte professionnel, car les machines sont généralement connectées à un réseau interne pour accéder à des ressources partagées.

En plus d’être une pratique non recommandée, l’utilisation de comptes avec des droits inadaptés ou surdimensionnés est également contraire au RGPD, car cela ne permet pas de garantir la confidentialité des données.

« la gestion des habilitations à consulter ou à utiliser un système d’information doit tendre à limiter les accès aux seules données à caractère personnel dont un utilisateur a besoin pour l’accomplissement de ses missions, notamment en définissant des profils d’habilitation dans les systèmes en séparant les tâches et les domaines de responsabilité. »

Les autorités de protection de données européennes ont d’ailleurs déjà condamné de nombreuses entreprises pour avoir recouru à cette pratique, notamment :

  • la RATP, car de nombreux comptes, indépendamment de leur fonction, pouvaient accéder à une application contenant des données sur les salariés de l’entreprise[1] ;
  • la companie aérienne British Airways[2], car les comptes de certains employés n’était pas limités, ce qui a facilité la progression d’un attaquant[2] ;
  • le spécialiste de la livraison de repas Foodinho, car 600 employés de l’entreprise pouvaient se connecter à un logiciel internet et consulter les données de tous livreurs[3].

Notes et références

  1. La RATP a été sanctionnée par la CNIL, car les comptes des utilisateurs n’étaient pas restreints (source : CNIL, SAN-2021-019, 29 octobre 2021, RATP). Voir « La RATP sanctionnée pour n’avoir pas restreint l’accès aux données personnelles de ses salariés ».
  2. La compagnie aérienne British Airways a été sanctionnée par l’autorité britannique, car les comptes des utilisateurs n’étaient pas restreints (source : ICO, 16 novembre 2020, British Airways). Voir « La compagnie aérienne BRITISH AIRWAYS sanctionnée pour n’avoir pas suffisamment sécurisé les données personnelles de ses clients ».
  3. La société Foodinho a été sanctionnée par l’autorité italienne, car les comptes des utilisateurs n’étaient pas restreints (source : GPDP, 9675440, 10 juin 2021, Foodinho s.r.l.). Voir « La société FOODINHO sanctionnée suite au traitement illicite des données personnelles de ses livreurs ».

Sigles et acronymes

  • RGPD : Règlement Général sur la Protection des Données