Politique de contrôle d’accès

La Politique de contrôle d’accès constitue un pilier essentiel de la sécurité de l’organisation, en établissant des principes et des contrôles détaillés pour la gestion de l’accès aux systèmes d'information, applications, installations physiques et actifs de données. Cette politique garantit que toute forme d’accès, qu’il s’agisse d’un accès logique ou d’un accès physique, est gouvernée par le besoin métier, la fonction et la posture de risque globale de l’organisation, en alignement avec des normes reconnues telles que ISO/IEC 27001:2022, NIST SP 800-53, EU GDPR, EU NIS2, EU DORA et COBIT 2019. Son objectif est d’appliquer des principes stricts tels que le principe du moindre privilège, le principe du besoin d’en connaître et la séparation des tâches, essentiels pour atténuer les risques liés à l’accès non autorisé et aux menaces internes. La politique soutient et opérationnalise les exigences relatives à l’accès logique et à l’accès physique, à l’authentification de l’utilisateur et à la gestion du cycle de vie des accès, depuis l’enrôlement jusqu’au déprovisionnement des accès. Des contrôles sont définis pour les ressources numériques et physiques afin d’empêcher l’utilisation non autorisée, les abus ou la compromission. Cette politique s’applique à l’ensemble de l’organisation ; son périmètre couvre tous les utilisateurs, y compris les employés, contractants, fournisseurs et personnel temporaire, ainsi que tous les systèmes et installations couverts par le Système de management de la sécurité de l'information (SMSI). Elle traite des scénarios d’accès complexes, en étendant les contrôles aux environnements sur site, à l’informatique en nuage et aux environnements hybrides, au matériel et aux logiciels de l’entreprise, ainsi qu’aux actifs d’accès logique (systèmes, réseaux, interfaces de programmation (API)) et d’accès physique (bâtiments, centres de données). De manière importante, la politique impose que l’accès soit gouverné sur l’ensemble du cycle de vie, en s’intégrant étroitement aux événements pilotés par les RH tels que l’enrôlement, les transferts internes et les résiliations afin d’assurer des mises à jour et des révocations en temps utile. Des exigences de gouvernance robustes incluent la définition des droits d'accès via une matrice des rôles formalisée ; l’intégration du provisionnement des accès et du déprovisionnement avec les processus RH et techniques ; l’application de circuits d'approbation structurés ; et l’obligation de gestion des accès privilégiés via des comptes séparés, la surveillance et l’enregistrement des sessions et l’authentification multifacteur. Ces pratiques sont renforcées par des exigences de revues d'accès trimestrielles, de journalisation d’audit complète et par l’alignement des pratiques de gestion des accès avec les impératifs réglementaires et métier. La politique décrit également des mécanismes explicites de gestion des exceptions et de gestion des risques, de mise en application et de revue périodique, afin de garantir que le programme reste adaptable face aux menaces émergentes, aux changements réglementaires et aux nouvelles technologies. En outre, la politique prévoit des dispositions spécifiques relatives au comportement des utilisateurs, à l’accès des tiers, à la séparation des tâches et au dispositif d'alerte. Elle impose un cadre clair pour la gestion des violations de politique, fixe des attentes en matière d’exigences de revue et de mise à jour périodiques et exige le stockage des versions historiques à des fins de conformité. L’ensemble de ces éléments concourt à créer un environnement de gouvernance des accès responsable, auditable et apte à soutenir une certification ou un examen juridique, sans formuler d’hypothèses ni de déclarations au-delà de ce qui est strictement documenté.