Principe du besoin d'en connaitre (Need-to-Know)
Qu'est-ce que Principe du besoin d'en connaitre (Need-to-Know) ?
Principe du besoin d'en connaitre (Need-to-Know)Principe de securite qui n'accorde l'acces a une information qu'aux personnes dont les fonctions l'exigent precisement, meme avec le niveau d'habilitation adapte.
Le besoin d'en connaitre complete le moindre privilege en ajoutant un filtre thematique au-dessus du niveau d'habilitation. Detenir une habilitation Secret ne donne pas le droit de lire tout document Secret: il faut un motif operationnel documente d'acceder a cette information precise. Issu de la doctrine militaire et du renseignement, le principe est exige par l'ISO/IEC 27002, le NIST SP 800-53 et la plupart des regulations (HIPAA, RGPD). Il s'implante via classification des donnees, RBAC/ABAC, acces just-in-time, masquage des donnees et journaux d'audit revisant qui a consulte quoi et pourquoi.
● Exemples
- 01
Un RH habilite ne peut pas lire le dossier medical d'un autre salarie sans justification documentee.
- 02
Les DBA ne voient que des numeros de carte masques sauf approbation explicite pour une enquete.
● Questions fréquentes
Qu'est-ce que Principe du besoin d'en connaitre (Need-to-Know) ?
Principe de securite qui n'accorde l'acces a une information qu'aux personnes dont les fonctions l'exigent precisement, meme avec le niveau d'habilitation adapte. Cette notion relève de la catégorie Conformité et référentiels en cybersécurité.
Que signifie Principe du besoin d'en connaitre (Need-to-Know) ?
Principe de securite qui n'accorde l'acces a une information qu'aux personnes dont les fonctions l'exigent precisement, meme avec le niveau d'habilitation adapte.
Comment fonctionne Principe du besoin d'en connaitre (Need-to-Know) ?
Le besoin d'en connaitre complete le moindre privilege en ajoutant un filtre thematique au-dessus du niveau d'habilitation. Detenir une habilitation Secret ne donne pas le droit de lire tout document Secret: il faut un motif operationnel documente d'acceder a cette information precise. Issu de la doctrine militaire et du renseignement, le principe est exige par l'ISO/IEC 27002, le NIST SP 800-53 et la plupart des regulations (HIPAA, RGPD). Il s'implante via classification des donnees, RBAC/ABAC, acces just-in-time, masquage des donnees et journaux d'audit revisant qui a consulte quoi et pourquoi.
Comment se défendre contre Principe du besoin d'en connaitre (Need-to-Know) ?
Les défenses contre Principe du besoin d'en connaitre (Need-to-Know) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
● Termes liés
- identity-access№ 854
Principe du moindre privilège
Principe de sécurité accordant à chaque utilisateur, processus ou service uniquement les privilèges strictement nécessaires à sa fonction, et rien de plus.
- compliance№ 1007
Separation des taches (SoD)
Principe de controle qui repartit une tache sensible entre plusieurs personnes ou systemes pour qu'aucun acteur seul ne puisse l'accomplir.
- identity-access№ 946
Contrôle d'accès basé sur les rôles (RBAC)
Modèle d'autorisation qui attribue les permissions à des rôles plutôt que directement aux utilisateurs, ces derniers héritant des accès via l'attribution de rôles.
- identity-access№ 074
Contrôle d'accès basé sur les attributs (ABAC)
Modèle d'autorisation qui évalue des politiques sur des attributs du sujet, de la ressource, de l'action et de l'environnement pour décider d'autoriser une requête d'accès.
- privacy№ 276
Classification des données
Processus d'étiquetage des données selon leur sensibilité et leur valeur, afin d'appliquer de manière cohérente les contrôles de protection, de manipulation et de conservation.
- identity-access№ 861
Gestion des accès à privilèges (PAM)
Ensemble de pratiques et d'outils qui sécurisent, contrôlent, surveillent et auditent l'accès aux comptes et systèmes disposant de privilèges administratifs élevés.