Gestion des identites et des acces (IAM) — Sensibilisation Essentielle

Objectifs d'apprentissage

Appliquer le principe du moindre privilege dans la gestion des acces
Organiser des revues d'acces regulieres et gerer les comptes orphelins
Implementer un processus de depart securise pour les employes et sous-traitants

Principe du moindre privilege

Le principe du moindre privilege (PoLP) stipule que chaque utilisateur, service, et systeme ne doit avoir acces qu'aux ressources strictement necessaires a ses fonctions, et rien de plus. En pratique : eviter les comptes administrateurs generiques partages, attribuer des droits par role (RBAC - Role-Based Access Control), et revoir regulierement ces droits. Ce principe limite considerablement les dommages qu'un attaquant peut causer apres avoir compromis un compte.

🔔 À retenir : Le Compte Administrateur de Domaine ne doit jamais etre utilise pour les taches quotidiennes. Les admins doivent avoir deux comptes : un compte standard pour la navigation et les emails, et un compte admin utilise uniquement pour les taches d'administration via un jump server ou un PAM.

Revues d'acces : maintenir l'hygiene

Sans revues regulieres, les droits d'acces s'accumulent : un employe change de poste mais garde les acces de son ancienne fonction, un sous-traitant dont le contrat est termine garde son acces VPN. Ces comptes orphelins ou sur-privileges sont des cibles de choix pour les attaquants. Les revues d'acces trimestrielles verifier : qui a acces a quoi, si ces acces sont toujours justifies, et si les comptes inactifs ont ete desactives.

⚠ Attention : Le taux de comptes orphelins (acces d'ex-employes ou sous-traitants non revoquees) depasse 30 % dans les organisations sans processus de depart formel. Chaque compte orphelin est une porte entrouverte.

Processus de depart : revoquer sans delai

La revocation des acces lors d'un depart (demission, licenciement) doit etre immediate et complete. Le processus : le jour du depart, desactiver le compte AD/SSO, revoquer les sessions actives (forcer la deconnexion), changer les mots de passe des comptes partagees auxquels l'employe avait acces, recuperer les appareils, et effacer les donnees d'entreprise via MDM. Un checklist de depart signe par l'IT et les RH garantit l'exhaustivite.

Checklist pratique

Les employes n'ont acces qu'aux ressources necessaires a leurs fonctions (principe du moindre privilege)

Des revues d'acces sont realisees trimestriellement pour identifier et supprimer les acces orphelins

Un processus de depart formel revoque tous les acces le jour du depart de l'employe

Votre progression est sauvegardée localement dans votre navigateur.

Points clés à retenir

PoLP : chaque compte ne doit avoir que les droits strictement necessaires — pas plus
Les comptes orphelins (ex-employes, sous-traitants) sont des portes ouvertes : revues trimestrielles obligatoires
Revocation le jour du depart : immediat, complet, documente — pas apres les conges de l'IT
Admins : deux comptes (standard pour quotidien, admin pour taches IT) = limit du blast radius en cas de compromission