🇬🇧 English version
Cyber Essentials7 min de lecture

Contrôle d'accès utilisateur : les bonnes personnes, le bon accès

Le contrôle d'accès utilisateur assure que seuls les individus autorisés peuvent accéder à vos systèmes et données, et que leur accès est limité à ce dont ils ont réellement besoin. Ce contrôle aide à prévenir à la fois les attaquants externes et les menaces internes d'atteindre les ressources sensibles.

Points clés

Point Résumé
Comptes uniques Chaque utilisateur doit avoir son propre compte ; pas de comptes partagés
Moindre privilège Les utilisateurs devraient avoir l'accès minimum nécessaire pour leur rôle
Restrictions admin Comptes admin uniquement pour les tâches admin ; pas d'email ou navigation avec les comptes admin
MFA recommandé Authentification multi-facteur pour les services cloud et comptes admin
Supprimer les partants rapidement Désactiver les comptes quand le personnel part ou change de rôle

Réponse rapide : Cyber Essentials requiert des comptes utilisateur uniques avec accès au moindre privilège. Les comptes admin ne devraient être utilisés que pour les tâches admin. Le MFA est fortement recommandé pour les services cloud. Supprimer l'accès rapidement quand les employés partent.

Pourquoi le contrôle d'accès est important

Un mauvais contrôle d'accès est un facteur courant dans les breaches. Quand tout le monde a des droits admin, un seul compte compromis peut donner aux attaquants accès à tout.

Sans contrôle d'accès approprié :

  • Tous les utilisateurs ont des droits admin
  • Les comptes partagés cachent la traçabilité
  • Les anciens employés peuvent toujours avoir accès
  • Les malwares s'exécutent avec tous les privilèges
  • Une breach peut signifier une compromission totale

Avec un contrôle d'accès approprié :

  • Les utilisateurs n'ont que l'accès dont ils ont besoin
  • Les comptes individuels fournissent la traçabilité
  • Les partants sont supprimés rapidement
  • Les malwares sont limités à l'accès niveau utilisateur
  • Les breaches sont contenues aux comptes affectés

Ce que Cyber Essentials requiert

Exigences fondamentales

Exigence Détails
Authentification utilisateur Tous les comptes doivent s'authentifier avant l'accès
Comptes uniques Chaque utilisateur a son propre compte
Privilèges appropriés Les utilisateurs n'ont accès qu'à ce dont ils ont besoin
Contrôle des comptes admin Minimiser et contrôler les comptes admin
Cycle de vie des comptes Processus pour créer et supprimer des comptes

Exigences d'authentification

Aspect Exigence
Minimum mot de passe 8 caractères (12+ recommandé)
Ou phrase de passe Minimum 12 caractères
Ou MFA Multi-facteur au lieu d'un mot de passe plus long
Verrouillage de compte Activer après tentatives échouées
Biométrie Acceptable avec template stocké sur l'appareil

Implémenter le contrôle d'accès

Étape 1 : Établir une politique de comptes

Définir votre approche de gestion des comptes :

Types de comptes :

  • Comptes utilisateur standards : Pour le travail quotidien, pas de privilèges admin, utilisés pour l'email, la navigation et les applications

  • Comptes administratifs : Pour l'administration système uniquement, pas pour l'email ou la navigation, individus nommés (pas génériques), exigences d'authentification plus élevées

  • Comptes de service : Pour l'utilisation par applications ou services, mots de passe uniques et forts, privilèges minimum requis, revue et rotation régulières

Cycle de vie des comptes :

  • Création : Approuvée, documentée, accès minimum
  • Modification : Changements approuvés uniquement
  • Revue : Revues d'accès régulières
  • Suppression : Désactivation rapide au départ

Étape 2 : Appliquer le moindre privilège

Les utilisateurs devraient avoir l'accès minimum nécessaire pour leur rôle :

Rôle Niveau d'accès typique
Employé standard Utilisateur standard, applications spécifiques au poste
Support IT Utilisateur standard + outils admin spécifiques
Administrateur système Compte admin (séparé de l'usage quotidien)
Finance Utilisateur standard + applications finance
RH Utilisateur standard + systèmes RH

Étape 3 : Séparer les comptes admin et standards

Les personnes qui ont besoin d'accès admin devraient avoir deux comptes :

Compte standard (ex. jean.dupont) :

  • Utilisé pour l'email, la navigation, les documents
  • Niveau d'accès utilisateur standard
  • Mot de passe conforme à la politique de l'entreprise
  • Compte d'usage quotidien

Compte admin (ex. jean.dupont.admin) :

  • Utilisé pour les tâches admin uniquement
  • Niveau d'accès administratif
  • Mot de passe plus fort + MFA recommandé
  • Pas pour l'usage quotidien, tâches admin uniquement

Pourquoi des comptes séparés ?

  • Limite l'exposition des credentials admin
  • Les malwares de la navigation ou l'email s'exécutent en utilisateur standard
  • Le phishing est moins susceptible de compromettre les credentials admin
  • La piste d'audit distingue les actions admin
  • Force une décision consciente d'élever les privilèges

Étape 4 : Configurer l'authentification

Définir des exigences d'authentification appropriées :

Paramètre Minimum Cyber Essentials Recommandé
Longueur mot de passe 8 caractères 12+ caractères
Complexité Ou phrase de passe Phrase de passe recommandée
MFA Réduit l'exigence de longueur Activer pour tous les comptes admin
Verrouillage Activer 5-10 tentatives échouées
Historique Non spécifié Empêcher la réutilisation des mots de passe

Étape 5 : Gérer le cycle de vie des comptes

Établir des processus pour les changements de comptes :

Nouvel arrivant (joiner) :

  • RH notifie IT du nouvel employé
  • Manager demande le niveau d'accès approprié
  • Compte créé avec l'accès minimum nécessaire
  • Utilisateur reçoit les credentials de manière sécurisée
  • L'accès accordé est documenté

Changement de rôle (mover) :

  • Manager demande le changement d'accès
  • Revoir les exigences actuelles et nouvelles
  • Ajouter l'accès nécessaire pour le nouveau rôle
  • Supprimer l'accès qui n'est plus nécessaire
  • Changements documentés

Départ (leaver) :

  • RH notifie IT rapidement
  • Compte désactivé immédiatement
  • Revoir les credentials partagés éventuels
  • Archiver si nécessaire pour la conformité
  • Supprimer après la période de rétention
  • Suppression documentée

Bonnes pratiques pour les comptes admin

Minimiser les comptes admin

Principe Implémentation
Nombre minimum Seulement ceux qui ont vraiment besoin d'accès admin
Comptes nommés Pas de comptes génériques 'Administrateur' ou 'Admin'
Documenté Liste de qui a accès admin et pourquoi
Revue régulière Revue trimestrielle de l'accès admin
Justifié Raison business pour chaque compte admin

Protéger les comptes admin

Protection Implémentation
Authentification forte MFA fortement recommandé
Credentials séparés Mot de passe différent du compte standard
Usage limité Non utilisé pour l'email ou la navigation
Surveillance Journaliser et revoir les activités admin
Postes de travail privilégiés Considérer pour les environnements haute sécurité

Audit du contrôle d'accès

Revues régulières

Revue Fréquence suggérée Action
Pertinence de l'accès utilisateur Trimestrielle Vérifier que l'accès correspond au rôle
Inventaire des comptes admin Trimestrielle Valider chaque compte admin
Comptes inactifs Mensuelle Désactiver les comptes inutilisés
Suppression comptes des partants Quotidienne/hebdomadaire Vérifier la suppression rapide
Revue des comptes de service Semestrielle Valider la nécessité

Checklist pré-certification

  • Tous les utilisateurs ont des comptes uniques
  • Pas de comptes partagés utilisés
  • Politique de mot de passe conforme aux exigences
  • Comptes admin séparés de l'usage quotidien
  • Comptes admin minimisés et justifiés
  • Processus joiner/mover/leaver documenté
  • Verrouillage de compte activé
  • Revues d'accès conduites
  • Ex-employés supprimés rapidement

Problèmes courants de contrôle d'accès

Problèmes fréquemment trouvés

Problème Risque Solution
Comptes partagés Pas de traçabilité Comptes individuels
Tout le monde est admin Malware a accès complet Appliquer le moindre privilège
Comptes admin génériques Pas de piste d'audit Comptes admin nommés
Anciens comptes encore actifs Utilisation abusive potentielle Revues d'accès régulières
Pas de processus pour les partants Accès ex-employé Processus RH/IT
Mots de passe faibles Compromission de compte Politique forte + MFA
Admin utilisé pour le travail quotidien Exposition inutile Comptes séparés

Gérer les exceptions

Parfois des exceptions d'accès sont vraiment nécessaires :

Demande :

  • Justification business requise
  • Durée spécifiée
  • Risque évalué
  • Approbation documentée

Revue :

  • L'exception est-elle vraiment nécessaire ?
  • Y a-t-il des alternatives ?
  • Quels contrôles compensatoires ?
  • Quel est le niveau de risque ?

Approbation :

  • Documenter l'approbateur
  • Définir une date d'expiration
  • Implémenter les contrôles compensatoires
  • Planifier la revue

Surveiller :

  • Suivre la validité de l'exception
  • Revoir avant expiration
  • Supprimer quand plus nécessaire
  • Auditer l'utilisation de l'exception

Comment Bastion peut aider

Gérer efficacement le contrôle d'accès nécessite de bons processus et une exécution cohérente.

Défi Comment nous aidons
Développement de politique Nous créons des politiques de contrôle d'accès adaptées à votre organisation
Implémentation de processus Nous aidons à établir des workflows joiner/mover/leaver
Revues d'accès Nous aidons à automatiser et suivre les revues d'accès
Gestion des comptes admin Nous fournissons des conseils sur l'accès privilégié
Surveillance de conformité Nous aidons à maintenir la visibilité sur le contrôle d'accès

Travailler avec un partenaire de services managés signifie que le contrôle d'accès devient un processus structuré et cohérent plutôt que quelque chose qui dépend de la mémoire individuelle ou de demandes ad-hoc. Nous aidons à s'assurer que rien ne passe entre les mailles du filet.

Besoin d'aide pour implémenter les contrôles d'accès ? Parlez à notre équipe

← PrécédentGestion des mises à jour de sécurité : rester protégéSuivant →Protection malware : votre dernière ligne de défense
Retour aux guides Cyber Essentials