11
Limiter l'accès aux données sensibles
en fonction du « besoin de savoir »
L'accès aux données personnelles ne doit être accordé qu'aux
personnes qui en ont besoin pour faire leur travail, et leur accès et
leurs activités doivent faire l'objet d'une étroite surveillance pour
s'assurer que les données sont utilisées comme prévu. Cela implique
d'authentifier correctement les utilisateurs et les groupes d'utilisateurs
et de limiter les droits d'accès aux serveurs, postes de travail, sites web
et applications spécifiques selon les besoins.
Les autorisations et les privilèges devront évoluer avec les rôles et
les responsabilités. Il est important de revoir régulièrement les droits
d'accès pour rester en phase avec les besoins des utilisateurs. Vous
réduirez ainsi efficacement le risque d'accès non autorisé à des
informations personnelles.
Pour éliminer davantage les erreurs humaines, les organisations
peuvent s'appuyer sur un fournisseur d'identité, tel que Microsoft
Active Directory, pour ajouter et supprimer automatiquement des
comptes d'utilisateurs, accorder des droits d'accès ou supprimer des
utilisateurs lorsqu'ils quittent l'organisation.
