CIS Controls v8.1 IG1 minimum

Contrôle 5 — Gestion des comptes utilisateurs

Les comptes mal gérés — mots de passe partagés, comptes d'ex-employés actifs, droits trop larges — figurent parmi les vecteurs d'attaque les plus exploités. Ce contrôle établit les règles de base de la gestion des identités.

Pourquoi ce contrôle est critique ?

Risque sans ce contrôle : Un compte d'ex-employé toujours actif peut être exploité des mois plus tard. Des comptes avec droits administrateurs pour les tâches quotidiennes multiplient l'impact de toute compromission.

Selon Verizon DBIR 2024, 74% des brèches impliquent un élément humain — dont une proportion liée à des identifiants compromis. Désactiver un compte dormant prend 2 minutes et peut éviter une brèche catastrophique.

Procédures & outils recommandés

Établir un processus lié au cycle de vie RH : création le premier jour, désactivation dans les 24h suivant le départ. Audit trimestriel des comptes actifs versus liste des employés. Principle de moindre privilège : chaque employé n'a que les droits nécessaires.

Outils adaptés aux PME
  • Active Directory (Windows Server) — gestion centralisée des comptes
  • Entra ID / Azure AD — identité cloud Microsoft 365
  • Bitwarden Teams (abordable) — gestionnaire de mots de passe équipe
  • JumpCloud (freemium) — SSO et gestion identités cloud
  • PowerShell Get-ADUser — audit des comptes inactifs (gratuit)

Tableau des Safeguards

#Action (Safeguard)IGClasse
5.1Établir et tenir à jour un inventaire de tous les comptes (locaux, domaine, service, application). Inclure type, propriétaire, date de création.IG1Utilisateurs
5.2Utiliser des mots de passe uniques pour chaque compte. Interdire le partage de comptes. Imposer un gestionnaire de mots de passe.IG1Utilisateurs
5.3Désactiver les comptes dormants (inactifs depuis 45 jours). Audit mensuel pour identifier et désactiver ces comptes.IG1Utilisateurs
5.4Restreindre les droits administrateurs aux seuls comptes dédiés. Les tâches quotidiennes s'effectuent avec un compte standard.IG1Utilisateurs
5.5Établir et tenir à jour un inventaire des comptes de service (utilisés par applications/scripts). Documenter usage et propriétaire.IG2Applications
5.6Centraliser la gestion des comptes via un annuaire (Active Directory, LDAP, IdP cloud). Éviter les comptes locaux non synchronisés.IG2Utilisateurs

Application pour les PME québécoises

Trois actions prioritaires : (1) Auditer les comptes actifs versus liste des employés actuels — désactiver tout compte d'ex-employé immédiatement ; (2) Déployer Bitwarden Teams pour éliminer les mots de passe partagés ; (3) Créer des comptes admins séparés pour les responsables IT.

Lien Loi 25 : La Loi 25 exige que seules les personnes autorisées accèdent aux renseignements personnels (art. 10). Les Safeguards 5.3 et 5.4 répondent directement à cette obligation. Un ex-employé accédant aux données clients via un compte toujours actif constitue une brèche notifiable.

Quiz de validation — 5 questions

1. Après combien de jours d'inactivité un compte doit-il être désactivé ?

2. Qu'est-ce que le principe du moindre privilège appliqué aux admins ?

3. Dans quel délai révoquer le compte d'un employé partant ?

4. Quel outil gratuit/open source gère les mots de passe d'équipe ?

5. Combien de Safeguards IG1 contient le Contrôle 5 ?

Voir aussi

C6 — Contrôle des accèsC4 — ConfigurationC3 — Données