Dans un système informatique, il est recommandé de limiter les droits d’accès des comptes des utilisateurs, car cela permet de protéger le système et éviter que toutes les ressources puissent être lues, modifiées ou supprimées, dans le cas où le compte serait compromis.

En l’absence de restrictions ou en attribuant des droits d’accès surdimensionnés, les conséquences d’une défaillance seraient plus importantes, surtout dans le cas où :

  • un utilisateur serait malveillant ;
  • le mot de passe d’un utilisateur serait compromis ;
  • une machine contiendrait d’un programme malveillant, comme un virus ou un ransomware.

Si les conséquences peuvent être limitées pour un particulier, la situation est complètement différente dans un contexte professionnel, car les machines sont généralement connectées à un réseau interne pour accéder à des ressources partagées.

En plus d’être une pratique non recommandée, l’utilisation de comptes avec des droits inadaptés ou surdimensionnés est également contraire au RGPD[1], car cela ne permet pas de garantir la confidentialité des données.

« la gestion des habilitations à consulter ou à utiliser un système d’information doit tendre à limiter les accès aux seules données à caractère personnel dont un utilisateur a besoin pour l’accomplissement de ses missions, notamment en définissant des profils d’habilitation dans les systèmes en séparant les tâches et les domaines de responsabilité. »

Les autorités de protection de données européennes ont d’ailleurs déjà condamné de nombreuses entreprises pour avoir recouru à cette pratique. Par exemple :

  • la CNIL[2], autorité française, a sanctionné la RATP[3] pour n’avoir pas restreint l’accès des données personnelles de ses salariés ;
  • l’ICO[4], l’autorité britannique, a sanctionné la compagnie aérienne British Airways[5] pour n’avoir pas restreint les droits d’accès des comptes de son personnel, ce qui a facilité la progression d’un attaquant et conduit à une fuite de données.

Notes et références

  1. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  2. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  3. La RATP a été sanctionnée par la CNIL pour avoir permis à une partie de son personnel d’accéder, sans restriction, à une application contenant les données personnelles de salariés (source : CNIL, SAN-2021-019, 29 octobre 2021, RATP). Voir « La RATP sanctionnée pour n’avoir pas restreint l’accès aux données personnelles de ses salariés ».
  4. ICO : Information Commissioner’s Office (ico.org.uk).
  5. La compagnie aérienne British Airways a été sanctionnée par l’ICO, l’autorité britannique, car les comptes des utilisateurs n’étaient pas restreints (source : ICO, 16 novembre 2020, British Airways). Voir « La compagnie aérienne BRITISH AIRWAYS sanctionnée pour n’avoir pas suffisamment sécurisé les données personnelles de ses clients ».