Pour le technicien qui intervient.
Le jour meme du départ d'un collaborateur, ses droits doivent etre revoques : compte AD desactive, badges retires, certificats revoques, sessions VPN coupees. Integrer cette procedure dans le processus RH de sortie. Un retard d'un jour suffit pour qu'un ancien employe mecontent emporte des données.
Le RGPD art. 32, la directive NIS2 art. 21 et ISO 27001 A.9.2.5 imposent une revue périodique des habilitations utilisateurs. La fréquence mensuelle est appropriee pour les annuaires d'entreprise. La revue doit conduire a des actions de revocation, pas seulement a un constat. Tracer chaque action.
L'equipe IT ne connait pas les besoins métier reels. La revue doit etre validee par le manager qui sait si tel collaborateur a encore besoin de tel acces. L'outil IAM (Sailpoint, Okta, ManageEngine ADManager) facilite ces validations par campagne. Une revue sans validation manager est purement cosmetique.
La segregation des taches (par exemple, le meme utilisateur ne doit pas pouvoir creer un fournisseur ET valider son paiement) est un contrôle anti-fraude. La revue mensuelle doit detecter les cumuls incompatibles. Definir une matrice SoD (Segregation of Duties) et l'auditer automatiquement avec l'outil IAM.
Sans traçabilite, impossible d'expliquer pourquoi tel utilisateur a obtenu tel droit, ni quand. Tracer chaque demande d'habilitation, son validateur, sa date, sa justification. Cette traçabilite est exigée par RGPD art. 30 (registre des traitements) et par les auditeurs internes.
Les managers approuvent souvent les revues sans regarder, par manque de temps ou de comprehension. Les sensibiliser : ce qu'ils signent les engage juridiquement. Fournir un guide visuel et un canal de questions pour qu'ils puissent reellement valider en connaissance de cause.
Pour le responsable / gestionnaire.
Le RGPD art. 32, la directive NIS2 art. 21 et ISO 27001 A.9.2.5 imposent une revue périodique des habilitations utilisateurs. La fréquence mensuelle est appropriee pour les annuaires d'entreprise. La revue doit conduire a des actions de revocation, pas seulement a un constat. Tracer chaque action.
L'equipe IT ne connait pas les besoins métier reels. La revue doit etre validee par le manager qui sait si tel collaborateur a encore besoin de tel acces. L'outil IAM (Sailpoint, Okta, ManageEngine ADManager) facilite ces validations par campagne. Une revue sans validation manager est purement cosmetique.
Sans traçabilite, impossible d'expliquer pourquoi tel utilisateur a obtenu tel droit, ni quand. Tracer chaque demande d'habilitation, son validateur, sa date, sa justification. Cette traçabilite est exigée par RGPD art. 30 (registre des traitements) et par les auditeurs internes.
Les managers approuvent souvent les revues sans regarder, par manque de temps ou de comprehension. Les sensibiliser : ce qu'ils signent les engage juridiquement. Fournir un guide visuel et un canal de questions pour qu'ils puissent reellement valider en connaissance de cause.
Pour l'auditeur et le contrôle de conformité.
Le RGPD art. 32, la directive NIS2 art. 21 et ISO 27001 A.9.2.5 imposent une revue périodique des habilitations utilisateurs. La fréquence mensuelle est appropriee pour les annuaires d'entreprise. La revue doit conduire a des actions de revocation, pas seulement a un constat. Tracer chaque action.