{ "uuid": "0a82932c50342a4f6cc0268736a60bbd", "slug": "revue-comptes-privileges-trimestriel", "lang": "fr", "audience": null, "count": 6, "conseils": [ { "uuid": "0ae1ee3a2c2f4776a409704ce6339c9c", "category": "regulatory", "audience": [ "manager", "technician", "auditor" ], "severity": "mandatory", "title": "Revue trimestrielle obligatoire des comptes a privilèges", "content": "Le guide d'hygiene informatique de l'ANSSI mesure 22, ISO 27001 A.9.2.3 et la directive NIS2 imposent une revue périodique des comptes a privilèges (admins, root, comptes de service). La fréquence trimestrielle est la pratique de marche. La revue doit conduire a des actions concretes (revocation, reduction de portee), pas seulement a un constat." }, { "uuid": "3f5c41c384fe45bfbbb86b96bcc36d23", "category": "operational", "audience": [ "technician" ], "severity": "critical", "title": "Bannir les comptes admin partages", "content": "Un compte admin partage entre plusieurs personnes est inauditable : impossible de savoir qui a fait quoi. Le guide d'hygiene ANSSI interdit cette pratique. Chaque administrateur doit avoir un compte nominatif distinct, meme si l'identifiant change uniquement par un suffixe. Les comptes 'admin' ou 'administrator' generiques sont a desactiver." }, { "uuid": "8f537585751742ebb6337df0c5b97dab", "category": "operational", "audience": [ "technician", "manager" ], "severity": "mandatory", "title": "Desactiver les comptes dormants apres 90 jours", "content": "Un compte admin sans connexion depuis 90 jours est probablement oublie : c'est une cible ideale pour un attaquant. Desactiver automatiquement, et reviser tous les trimestres. La directive NIS2 et ISO 27001 considerent les comptes dormants comme un risque majeur. Documenter la durée d'inactivite seuil dans la politique." }, { "uuid": "0ebef33b752049e981359edd359c226c", "category": "operational", "audience": [ "technician" ], "severity": "recommended", "title": "Utiliser un bastion pour tous les acces d'administration", "content": "Un bastion (PAM) centralise les acces aux ressources sensibles, force le MFA, enregistre les sessions et permet la rotation automatique des mots de passe admin. WALLIX, CyberArk, Teleport ou Boundary sont des solutions reconnues. C'est l'un des contrôles les plus puissants pour limiter la portee d'une compromission." }, { "uuid": "d064d606b6c54492ae89d05f57fdedc6", "category": "operational", "audience": [ "technician", "manager" ], "severity": "critical", "title": "Imposer la rotation des mots de passe admin", "content": "Un mot de passe admin partage qui reste valide pendant des années est une bombe a retardement. Forcer une rotation au minimum tous les 6 mois, idealement automatique via un bastion. En cas de départ d'un administrateur, rotation immediate de tous les mots de passe qu'il connaissait. Tracer chaque rotation." }, { "uuid": "cb51a82ba4684859bd8e7f91bba1251e", "category": "training", "audience": [ "technician", "manager" ], "severity": "recommended", "title": "Appliquer le principe du moindre privilège", "content": "Donner des droits admin globaux par defaut, parce que c'est plus simple, est l'erreur la plus courante. Definir des roles techniques granulaires (admin DNS, admin sauvegardes, admin SQL) et n'attribuer que les droits necessaires a la tache. Cette approche limité la portee d'une compromission." } ] }