Politique de gestion des comptes utilisateurs et des privilèges - PME

La Politique de gestion des comptes utilisateurs et des privilèges (P11S) est une offre complète, axée sur les PME, conçue pour encadrer la création, l’utilisation, la surveillance et la suppression des comptes utilisateurs et des privilèges d’accès au sein d’une organisation. En tant que politique adaptée de normes mondiales et d’obligations réglementaires, elle établit un cadre afin de garantir que seuls des utilisateurs autorisés disposent d’un accès approprié, une mesure essentielle pour prévenir l’accès non autorisé et réduire les menaces internes. P11S est rédigée spécifiquement pour les petites et moyennes entreprises (PME), comme l’indiquent la responsabilité du Directeur général (DG) et l’absence de structures complexes de gouvernance informatique telles que des centres opérationnels de sécurité (SOC) dédiés ou un Responsable de la sécurité des systèmes d’information (RSSI). Cette approche rend le contrôle d’accès à haut niveau d’assurance réalisable et gérable pour les organisations ne disposant pas de grandes équipes de sécurité, tout en conservant l’alignement avec ISO/IEC 27001:2022 et les cadres associés. La politique s’applique à tous les employés, contractants, stagiaires et tiers disposant d’un accès aux systèmes d’information de l’organisation. Elle couvre les comptes utilisateurs traditionnels, les comptes d’administrateurs et de services, ainsi que les identifiants temporaires ou invités. Les règles couvrent l’ensemble du cycle de vie des comptes, depuis l’enrôlement initial et le provisionnement des accès, jusqu’à la revue périodique et la révocation des accès lors de la procédure de départ. Chaque utilisateur se voit attribuer une identité unique et traçable afin d’assurer l’autorité et la responsabilité, les identifiants partagés étant explicitement interdits sauf dans le cadre d’exceptions contrôlées et documentées. Les privilèges élevés doivent faire l’objet d’un niveau supplémentaire de justification et d’autorisation, toujours soumis à la documentation et à une revue périodique. Les rôles et responsabilités sont simplifiés et explicites : le DG assure la supervision globale, garantit le respect de la politique et traite tout incident de sécurité de l'information lié aux comptes utilisateurs. Les tâches de mise en œuvre et de mise en application technique relèvent du responsable informatique (ou d’un prestataire informatique externe), qui gère le provisionnement des accès, la désactivation, la surveillance et la journalisation, strictement sur la base de circuits d'approbation documentés. Les responsables hiérarchiques jouent un rôle essentiel dans la demande, la revue et la validation des accès lorsque les fonctions des membres de leur équipe évoluent, tandis que chaque utilisateur est tenu de protéger ses identifiants et de signaler toute activité suspecte. La politique est strictement gouvernée : toutes les modifications, créations et désactivations de comptes, ainsi que les élévations de privilèges, doivent être consignées et associées à des personnes nommées. Des revues d'accès périodiques sont imposées au moins tous les six mois. La complexité des mots de passe, l’authentification multifacteur lorsque cela est possible, le verrouillage de compte après des tentatives échouées, ainsi que la revue systématique des comptes de services et des comptes de tiers sont intégrés aux règles. Les procédures de départ garantissent la suppression rapide des accès et la récupération de tous les jetons numériques ou équipements, réduisant les risques d’accès persistants. La gestion des exceptions est soumise à des exigences élevées : toute dérogation à la politique de base (telle que l’usage rare de comptes partagés ou de comptes de test) doit être justifiée par écrit, compensée par des mesures compensatoires, revue trimestriellement et soumise à une révocation des accès à terme. Les comptes d’urgence « break glass » ne sont autorisés que dans des conditions définies et documentées et doivent être réinitialisés après utilisation. La politique prévoit des audits réguliers, des revues des incidents de sécurité et des mises à jour annuelles afin de maintenir l’alignement avec l’évolution des exigences réglementaires et opérationnelles. Enfin, elle renvoie explicitement à des politiques complémentaires couvrant respectivement la gouvernance, le contrôle d'accès, la politique d’intégration et de départ, la politique de sensibilisation et de formation à la sécurité de l’information et la Politique de réponse aux incidents (P30), afin d’assurer une approche globale de la gestion des accès et de la conformité.