Dans le cadre de sa démarche de contrôle récurrente, une société a souhaité évaluer le niveau de protection des données présentes sur son SI. BlueKrypt a effectué un audit basé sur des entretiens et des vérifications techniques pour répondre à ce besoin. L’analyse s'est concentrée sur les environnements système, réseau et surtout applicatif.

Contexte

Des points positifs et des axes d’amélioration ont été identifiés au cours de cette évaluation.

Points positifs
  • Certains services prennent en compte la protection des données en limitant leur nature et en implémentant quelques protections (notamment du chiffrement),
  • Un mécanisme de brouillage des données a été mis en place,
  • Les contrôles d’accès aux environnements font l’objet de procédures d’approbation et de contrôle appropriés.

 

Axes d’amélioration
  • La confidentialité des données n’est pas assurée de manière uniforme : des informations telles que des trigrammes et potentiellement des codes secrets sont stockés sans chiffrement,
  • Les flux de données ne sont pas protégés : il est possible d’intercepter un flux sur le réseau de la société contenant des données sensibles,
  • Un certain nombre d’environnements utilise encore des comptes génériques,
  • Des données de production sont utilisées par certains services à des fins de tests sans être anonymisées,
  • La sensibilisation globale des responsables vis-à-vis de la protection des données est relativement limitée.

 

Le niveau global de protection des données est évalué à « réserves significatives » (Échelle: satisfaisant, perfectible, réserves significatives, insatisfaisant).

Il y a un nombre conséquent de risques importants et critiques qui ont été identifiés au cours de l’évaluation. Ces risques concernent principalement deux aspects :

  • Le manque de protection des données au niveau des bases de données de certains services,
  • L’absence de confidentialité sur les flux réseau.

Pour améliorer le niveau de protection des données, des actions de « priorité haute » et des actions « plus moyen terme » ont été identifiées pour couvrir les risques.

Méthodologie

Dans le cadre de cette étude de cas, nous allons prendre pour exemple une méthodologie appliquée aux données bancaires.

banque methodologie