Une politique de contrôle d'accès définit les règles qui régissent l'attribution, la modification et la révocation des droits d'accès aux systèmes, applications et données. L'ISO 27002 mesure 5.15 recommande quatre principes fondamentaux :

• Moindre privilège : chaque utilisateur ne dispose que des droits strictement nécessaires à l'accomplissement de ses tâches
• Besoin d'en connaître : l'accès à l'information est limité aux personnes qui en ont besoin pour leurs missions
• Séparation des tâches : les fonctions critiques sont réparties entre plusieurs personnes pour éviter qu'une seule personne puisse commettre une fraude ou une erreur sans détection
• Révision régulière : les droits d'accès sont audités périodiquement pour identifier et supprimer les droits obsolètes ou excessifs

Ces principes se traduisent par des règles concrètes d'attribution de droits, des processus de validation, et des contrôles réguliers.

Pourquoi limiter les droits

Un utilisateur standard qui dispose de droits administrateur sur son poste peut installer des logiciels non autorisés, désactiver l'antivirus, ou compromettre l'ensemble du réseau en cas d'attaque ciblée. Un collaborateur qui accède à toutes les données de l'entreprise alors qu'il ne travaille que sur un projet spécifique dispose d'une surface d'exposition inutile en cas de compromission de son compte ou de malveillance.

Comment appliquer le moindre privilège

Identifier les besoins réels : pour chaque fonction ou poste, lister les ressources nécessaires à l'accomplissement des missions. Un commercial a besoin du CRM et des documents commerciaux, pas des bases de données de production. Un développeur a besoin des environnements de développement et de test, pas de la production.

Attribuer uniquement le nécessaire : créer des profils d'accès types par fonction (commercial, comptable, manager, développeur, administrateur) avec les droits minimum requis. Éviter les comptes avec droits globaux.

Gérer les exceptions : pour les besoins temporaires ou exceptionnels, mettre en place un processus de demande et d'approbation avec durée limitée. Un consultant externe qui intervient 3 mois doit avoir ses accès révoqués automatiquement à la fin de la mission.

Le principe de double contrôle

Certaines opérations sensibles ne doivent jamais pouvoir être réalisées par une seule personne. La séparation des tâches impose qu'au moins deux personnes interviennent dans les processus critiques, rendant impossible la fraude ou l'erreur non détectée.

Exemples d'application

Traitement financier : la personne qui crée un ordre de paiement ne doit pas être celle qui le valide. Développement logiciel : le développeur qui écrit le code ne doit pas être celui qui le déploie en production sans validation. Gestion des comptes : la personne qui crée un compte utilisateur ne doit pas être celle qui attribue les droits d'administrateur. Sauvegardes : l'administrateur système ne doit pas être le seul à pouvoir restaurer les sauvegardes sans traçabilité ou validation.

Limites pratiques

Dans les petites structures, la séparation stricte peut être difficile. Il faut alors renforcer la traçabilité et mettre en place des contrôles compensatoires : audits réguliers, validation a posteriori, double signature pour les opérations sensibles.

Création de compte

Lors de l'arrivée d'un collaborateur, les accès sont attribués selon le profil de son poste. Un processus de validation implique le responsable hiérarchique et l'équipe IT. Les droits sont accordés progressivement : accès standard immédiat, accès sensibles après formation et validation.

Modification des droits

Lors d'un changement de poste, de mission ou de responsabilité, les droits doivent être ajustés. Règle clé : retirer les anciens droits avant d'ajouter les nouveaux. Un collaborateur qui passe de commercial à manager ne doit pas conserver les accès techniques du service commercial s'ils ne sont plus nécessaires.

Révocation

Au départ d'un collaborateur (démission, licenciement, fin de contrat), tous les accès doivent être révoqués immédiatement, idéalement dès la notification du départ. Les comptes ne doivent jamais être simplement désactivés indéfiniment : ils doivent être supprimés après archivage des données si nécessaire.

Révision périodique

Tous les trimestres ou semestres, auditer les droits d'accès : qui a accès à quoi, ces droits sont-ils encore justifiés, y a-t-il des comptes inactifs ou orphelins. Supprimer systématiquement les accès non utilisés depuis 90 jours.

1. Documenter la politique de contrôle d'accès

Rédigez un document formel qui définit les principes (moindre privilège, séparation des tâches), les règles d'attribution, le processus de demande et de validation, et les responsabilités. Ce document doit être validé par la direction et communiqué à tous.

2. Créer des profils d'accès types

Identifiez les grandes familles de postes dans l'organisation (commercial, comptable, RH, manager, IT, direction) et définissez pour chacune le socle de droits nécessaire. Évitez les attributions individuelles au cas par cas, privilégiez les profils réutilisables.

3. Automatiser quand c'est possible

Utilisez les systèmes de gestion des identités et des accès (IAM) ou les annuaires centralisés (Active Directory, LDAP) pour attribuer les droits par groupes. L'automatisation réduit les erreurs et accélère les processus.

4. Former les responsables

Les managers doivent comprendre leur rôle dans la validation des droits et dans la révision régulière. Ils sont les mieux placés pour savoir si un collaborateur a réellement besoin d'un accès spécifique.

5. Auditer régulièrement

Planifiez des revues d'accès trimestrielles ou semestrielles. Générez la liste des utilisateurs et de leurs droits, demandez aux managers de valider que tout est justifié, supprimez les droits obsolètes ou non utilisés.

• Comptes partagés : plusieurs personnes utilisent le même identifiant et mot de passe. Cela rend impossible la traçabilité des actions et facilite les fuites de responsabilité. Chaque personne doit avoir son propre compte.
• Droits administrateur généralisés : attribuer des droits d'administrateur "au cas où" ou par facilité expose l'organisation à des risques majeurs. Les droits élevés doivent être exceptionnels et justifiés.
• Pas de révision des droits : au fil du temps, les collaborateurs accumulent des droits obsolètes liés à d'anciennes missions. Sans révision, les accès deviennent incontrôlés.
• Pas de processus de révocation : un collaborateur qui quitte l'entreprise conserve ses accès pendant des jours ou semaines. La révocation doit être immédiate et systématique.

Le contrôle d'accès repose sur le principe du moindre privilège : chaque utilisateur ne dispose que des droits strictement nécessaires à l'accomplissement de ses missions. La séparation des tâches empêche qu'une seule personne puisse commettre une fraude ou une erreur critique sans détection. La mise en œuvre efficace nécessite une politique documentée, des profils d'accès types, un processus de validation des droits, et des révisions régulières pour supprimer les accès obsolètes. La révocation immédiate lors des départs est essentielle.