{"id":27960,"date":"2021-10-13T13:50:44","date_gmt":"2021-10-13T17:50:44","guid":{"rendered":"https:\/\/www.canarie.ca\/?post_type=document&p=27960"},"modified":"2021-10-13T13:51:28","modified_gmt":"2021-10-13T17:51:28","slug":"fca-avis-relatif-a-la-securite-concernant-les-parametres-de-consentement-dazure-ad","status":"publish","type":"document","link":"https:\/\/www.canarie.ca\/fr\/document\/fca-avis-relatif-a-la-securite-concernant-les-parametres-de-consentement-dazure-ad\/","title":{"rendered":"FCA \u2013 Avis relatif \u00e0 la s\u00e9curit\u00e9 concernant les param\u00e8tres de consentement d\u2019Azure AD"},"content":{"rendered":"\n

Avez-vous par inadvertance configur\u00e9 votre nuage pour qu\u2019il partage vos donn\u00e9es \u00e0 votre insu?<\/strong> <\/h2>\n\n\n\n

Si votre organisation figure parmi les 95 \u00e0 97\u202f% des institutions de recherche et d\u2019\u00e9ducation canadiennes inscrites \u00e0 l\u2019Active Directory d\u2019Azure (AAD), un simple param\u00e8tre par d\u00e9faut pourrait laisser les applications\/services d\u2019une tierce partie consulter les donn\u00e9es personnelles de vos utilisateurs.  <\/p>\n\n\n\n

Dans le r\u00e9pertoire actif d\u2019Azure, le consentement utilisateur est configur\u00e9 par d\u00e9faut afin que les utilisateurs (y compris les \u00e9tudiants) puissent tous se connecter aux applications d\u2019Azure sans que l\u2019administrateur ait son mot \u00e0 dire. \u00c9videmment, il en r\u00e9sulte quelques probl\u00e8mes. <\/p>\n\n\n\n

  1. Pareille configuration pourrait entrer r\u00e9guli\u00e8rement en conflit avec les politiques de l\u2019\u00e9tablissement concernant la protection et la classification des renseignements personnels. <\/li><\/ol>\n\n\n\n
    1. Dans certains cas, les donn\u00e9es de l\u2019utilisateur et celles de l\u2019organisme seront divulgu\u00e9es \u00e0 une tierce partie. L\u2019utilisateur pourrait donc \u00eatre victime d\u2019exploration de ses donn\u00e9es. <\/li><\/ol>\n\n\n\n
      1. \u00c0 cause de ce r\u00e9glage automatique, l\u2019utilisateur pourrait partager ses donn\u00e9es et celles d\u2019autres utilisateurs (en fonction de ses droits d\u2019acc\u00e8s) \u00e0 perp\u00e9tuit\u00e9, sans qu\u2019il le sache, en ayant faussement l\u2019impression que l\u2019institution a sanctionn\u00e9 l\u2019application. 

        <\/li><\/ol>\n\n\n\n

        Que faire?<\/strong> <\/h2>\n\n\n\n

        Au moment de d\u00e9ployer une nouvelle application ou un nouveau service, privil\u00e9giez l\u2019approche du \u00ab\u202fdroit d\u2019acc\u00e8s minimal\u202f\u00bb pour les donn\u00e9es sur l\u2019utilisateur.  

        <\/p>\n\n\n\n

        La bonne nouvelle<\/strong> <\/h2>\n\n\n\n

        Il est facile de modifier les param\u00e8tres de consentement d\u2019Azure AD au niveau locataire pour les rendre plus restrictifs. L\u2019\u00e9quipe de la F\u00e9d\u00e9ration canadienne d\u2019acc\u00e8s (FCA) vous recommande vivement, d\u2019une part, de faire approuver les nouvelles applications par les administrateurs d\u2019Azure AD avant de les laisser lire les donn\u00e9es du profil [1] et, d\u2019autre part, de configurer le consentement administrateur afin que vous puissiez g\u00e9rer un tel acc\u00e8s[2]. <\/p>\n\n\n\n

        Plus pr\u00e9cis\u00e9ment, lors de la configuration du consentement utilisateur\u202f: <\/p>\n\n\n\n