Zoom sur l’autorisation
Comment concilier sécurité et respect de la vie privée ? Apprenez-en plus sur l’autorisation.
Lorsque Apple et le FBI se sont opposés au sujet du déverrouillage d’un smartphone, les citoyens ordinaires ont pris conscience d’un problème auquel nous, acteurs du secteur de la sécurité, sommes confrontés depuis longtemps. Plus précisément, ils ont commencé à réfléchir à l’équilibre entre sécurité et respect de la vie privée.
Les systèmes de contrôle d’accès physique, de reconnaissance automatique des plaques d’immatriculation (RAPI) et de vidéosurveillance assurent la sécurité de nos bâtiments, de nos biens, de nos communautés et des personnes. Pour réaliser cette tâche, ils collectent et stockent des données relatives à l’identité des utilisateurs, leur localisation, leurs déplacements et leurs activités.
Ces données sont inestimables lorsqu’il s’agit de prévenir ou de poursuivre des comportements illégaux ou menaçants ; mais qu’en est-il des données collectées sur les personnes qui vaquent à leurs occupations quotidiennes ?
Collecter des données sans compromettre le respect de la vie privée
Le respect de la vie privée est essentiel. Après tout, personne ne souhaite que n’importe qui ait accès à ses activités ou à des informations pouvant l'identifier. Nous voulons avoir la garantie que les données collectées à notre sujet sont sécurisées.
À l'heure où les municipalités, les entreprises, les centres de données et les institutions hautement réglementées comme les hôpitaux partagent des vidéos et d’autres données avec les forces de l’ordre, les préoccupations concernant la sécurité de nos données et le respect de notre vie privée se multiplient.
Et lorsqu’il s’agit de protéger nos données, on ne peut pas s'arrêter aux seules menaces venant de l’extérieur. L’intégration et la collaboration entre les systèmes prennent de l’ampleur, et de plus en plus d’entités interagissent avec nos systèmes de sécurité et accèdent à des données privilégiées.
En plus de protéger l’accès grâce à des mécanismes d’authentification adaptés, nous devons nous assurer de contrôler qui consulte nos données et ce qu’ils peuvent en faire.
Nous avons déjà abordé la façon dont le chiffrement empêche la lecture des données par des entités non autorisées et comment l’authentification permet de s’assurer que toute personne accédant au système est bien celle qu’elle prétend être.
Nous allons à présent voir comment l’autorisation contribue à protéger la vie privée en définissant clairement la façon dont le personnel autorisé peut accéder à des données spécifiques, et s’il peut modifier les données ou le comportement du système.
Qu’est-ce que l’autorisation ?
L’autorisation est la fonction qui permet aux administrateurs du système de sécurité de définir les droits d’accès et les privilèges des utilisateurs (opérateurs). Plus précisément, les administrateurs limitent l’étendue des activités :
– En accordant des droits d’accès à des groupes ou des individus sur des ressources, des données ou des applications
– En définissant ce que les utilisateurs peuvent faire avec ces ressources.
C’est pourquoi il est indispensable de pouvoir limiter l’accès aux enregistrements vidéo et leur utilisation. Il faut sécuriser et protéger étroitement l’accès à la vidéo enregistrée ou diffusée afin de préserver la vie privée.
L’autorisation dans les systèmes de sécurité
Pour protéger les données d’un système de sécurité, les administrateurs doivent être en mesure, entre autres, de mettre en place des privilèges d’accès utilisateur détaillés, de sélectionner les informations qui peuvent être partagées en interne avec les partenaires et les autorités, et de contrôler la durée de conservation des données. Les partitions logiques et les privilèges sont deux mécanismes qui rendent cela possible.
Configuration des partitions logiques
En configurant des partitions logiques, les administrateurs déterminent si un ou plusieurs utilisateurs peuvent réellement consulter des données spécifiques telles que des vidéos enregistrées. Si l’utilisateur n’a pas accès à la partition où est stockée une vidéo archivée, il ne pourra pas la consulter.
Définition des privilèges utilisateurs
L’étape suivante consiste à définir les privilèges d’un utilisateur. Par exemple, bien qu’un utilisateur puisse visualiser une vidéo archivée, ses privilèges déterminent ses droits d’exportation, de modification ou de suppression sur la vidéo en question. Par conséquent, les enregistrements ne peuvent être gérés que par les enquêteurs disposant de droits d’accès suffisants. Cela permet d’atténuer le risque que des preuves soient envoyées à des parties non autorisées.
De plus, pour éliminer davantage les erreurs humaines, les organisations peuvent utiliser un serveur LDAP, comme Microsoft Active Directory, pour ajouter et supprimer automatiquement des comptes d’utilisateurs de sécurité, accorder des droits d’accès ou supprimer des utilisateurs lorsqu’ils ne travaillent plus avec l’organisation.
Lorsque les administrateurs gèrent ce que leur personnel peut voir et faire, ils assurent la sécurité des données transmises et stockées dans leur système de sécurité. La sécurité du système est ainsi renforcée dans son ensemble, de même que celle des autres systèmes qui y sont connectés.
Pour un résumé de ce que nous savons de la sécurité de notre sécurité, lisez la dernière publication de notre série d’articles sur le sujet.