Politique de gestion des comptes utilisateurs et des privilèges

La Politique de gestion des comptes utilisateurs et des privilèges (Document P11) fournit un cadre structuré et obligatoire pour contrôler la manière dont les comptes utilisateurs et les privilèges sont gérés sur l’ensemble des systèmes d'information de l'organisation et des technologies. Son objectif principal est de garantir que les ressources de l’organisation ne sont accessibles qu’aux personnes autorisées, conformément à des rôles validés et aux nécessités opérationnelles. La politique reconnaît et applique des principes clés de sécurité de l'information, tels que le principe du moindre privilège et la séparation des tâches, et impose des processus auditables pour le provisionnement des accès, la gestion, la surveillance et la révocation des accès des comptes utilisateurs. Applicable à tous les utilisateurs, y compris les employés, les contractants, les prestataires tiers de services et les consultants, cette politique régit tout système où l’authentification de l’utilisateur est présente. Cette portée complète couvre les applications d’entreprise, les environnements cloud et SaaS, les systèmes administratifs et les outils d’accès à distance, ainsi que les plateformes de gestion des identités et des accès. Les comptes standards et les comptes à privilèges relèvent de ses exigences, avec un accent fort sur les identifiants utilisateurs uniques pour chaque compte et la prévention de l’utilisation d’identifiants partagés ou de comptes génériques (sauf pour des scénarios d’urgence strictement contrôlés). Les objectifs clés de la politique incluent l’application de comptes utilisateurs uniques, justifiables et traçables ; la mise en œuvre de contrôles du principe du moindre privilège pour se prémunir contre des droits d'accès excessifs ; l’exigence de changements rapides du statut des comptes à la suite de changements de rôle ou de résiliations ; et la centralisation des activités de gestion du cycle de vie des accès pour la cohérence et l’auditabilité. Des dispositions sont prévues pour la détection proactive des identifiants d’utilisateur inactifs ou des comptes mal utilisés via des revues d'accès régulières et l’utilisation d’outils automatisés. La politique est explicitement conçue pour s’aligner sur les principales normes de sécurité (telles que ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, GDPR et COBIT 2019) afin de satisfaire à la fois les exigences réglementaires et les bonnes pratiques du secteur. Les rôles et responsabilités sont clairement définis, depuis le rôle de supervision et de gestion des exceptions du RSSI jusqu’aux actions techniques des administrateurs du contrôle d’accès, aux autorisations d’accès des chefs de département, et à l’intégration des Ressources humaines (RH) avec les processus d’enrôlement et de procédure de départ. Les procédures garantissent que la création, la modification et la désactivation des comptes sont strictement gouvernées, avec un accès à privilèges soumis à un examen renforcé, à des approbations, à des restrictions temporelles et à une journalisation d’audit renforcée. Les contrôles d’authentification, y compris les politiques de mots de passe obligatoires, l’authentification multifacteur pour les comptes clés, le verrouillage de session et les protocoles d’accès à distance sécurisés, constituent une exigence centrale, garantissant que la vérification d’identité ne peut pas être contournée. Une surveillance robuste, la journalisation et des mesures de revue périodique contribuent à maintenir des inventaires de comptes exacts et à assurer le respect de la politique. La gestion des exceptions est fondée sur les risques et contrôlée, avec des scénarios d’accès d’urgence (« break-glass ») faisant l’objet d’une attention procédurale particulière. La conformité obligatoire est soulignée par un modèle de mise en application progressif, incluant la désactivation des accès, le réentraînement ciblé, des mesures disciplinaires et l’escalade juridique et réglementaire en cas de violations. L’intégration avec les politiques organisationnelles connexes garantit une approche cohérente sur l’ensemble des domaines de contrôle de sécurité, et l’exigence de revues annuelles (ou déclenchées par des événements) de la politique garantit un alignement continu avec l’évolution des systèmes, des modèles d’activité et des paysages réglementaires. La Politique de gestion des comptes utilisateurs et des privilèges est fondamentale pour la stratégie de gestion des risques de l’organisation, renforçant la sécurité opérationnelle et la conformité réglementaire.