Contrôle 6 — Gestion du contrôle des accès
Contrôler qui peut accéder à quoi, comment et depuis où est un pilier fondamental. Ce contrôle établit les processus d'octroi et révocation d'accès, et impose l'authentification multi-facteurs (MFA) pour les accès sensibles.
Pourquoi ce contrôle est critique ?
Le MFA est la mesure préventive la plus efficace contre le vol de compte. Microsoft rapporte que le MFA bloque 99,9% des attaques sur les comptes compromis. Pour les PME, activer le MFA sur Microsoft 365 et le VPN est une victoire rapide à coût quasi nul.
Procédures & outils recommandés
Activer le MFA sur : Microsoft 365/Google Workspace, accès VPN, outils cloud. Utiliser une application d'authentification (Microsoft/Google Authenticator) plutôt que les SMS. Documenter chaque octroi d'accès : approbation manager + validation IT.
- Microsoft Authenticator / Google Authenticator — MFA TOTP gratuit
- Duo Security (freemium jusqu'à 10 users) — MFA avec tableau de bord
- Conditional Access (Entra ID) — MFA conditionnel selon contexte
- Okta Workforce Identity — SSO et MFA centralisé
- Teleport (open source) — accès privilégié zéro-trust
Tableau des Safeguards
| # | Action (Safeguard) | IG | Classe |
|---|---|---|---|
| 6.1 | Établir un processus formalisé d'octroi d'accès : demande, approbation manager, validation IT, documentation des droits accordés. | IG1 | Utilisateurs |
| 6.2 | Établir un processus de révocation d'accès lors de départ, changement de poste ou fin de contrat. Délai maximum : 24h. | IG1 | Utilisateurs |
| 6.3 | Exiger le MFA pour toutes les applications exposées sur Internet contenant des données sensibles (email, ERP, CRM). | IG1 | Applications |
| 6.4 | Exiger le MFA pour tous les accès réseau distants (VPN, RDP via gateway, SSH externe). | IG1 | Réseau |
| 6.5 | Exiger le MFA pour tous les accès administrateurs, même en réseau interne. | IG1 | Utilisateurs |
| 6.6 | Établir un inventaire des systèmes d'authentification et d'autorisation (LDAP, SAML, OAuth, bases locales). | IG2 | Applications |
| 6.7 | Centraliser le contrôle des accès via un Identity Provider unique. Utiliser SSO (Single Sign-On). | IG2 | Applications |
| 6.8 | Définir et maintenir un modèle de contrôle d'accès basé sur les rôles (RBAC). Réviser trimestriellement. | IG3 | Utilisateurs |
Application pour les PME québécoises
Priorité absolue : activer le MFA sur Microsoft 365 ou Google Workspace (gratuit, 30 minutes). C'est la mesure IG1 avec le meilleur ratio protection/effort. Ensuite : checklist départ employé incluant la révocation de tous les accès dans les 24h.
Quiz de validation — 5 questions
1. Dans quel délai max révoquer les accès d'un employé partant (Safeguard 6.2) ?
2. Quel % d'attaques sur les comptes le MFA bloque-t-il (Microsoft) ?
3. Pourquoi préférer une app TOTP aux SMS pour le MFA ?
4. Qu'est-ce que le RBAC ?
5. Sur quels systèmes le MFA est-il prioritaire (Safeguards IG1) ?
Voir aussi