{
    "uuid": "55e1d0e09d6517bcfaf56999b9b0d0f2",
    "slug": "revue-droits-acces-mensuel",
    "lang": "fr",
    "audience": null,
    "count": 6,
    "conseils": [
        {
            "uuid": "5f670fbe752b486fa9ca35342504fd88",
            "category": "regulatory",
            "audience": [
                "manager",
                "technician",
                "auditor"
            ],
            "severity": "mandatory",
            "title": "Revue périodique exigée par RGPD, NIS2 et ISO 27001",
            "content": "Le RGPD art. 32, la directive NIS2 art. 21 et ISO 27001 A.9.2.5 imposent une revue périodique des habilitations utilisateurs. La fréquence mensuelle est appropriee pour les annuaires d'entreprise. La revue doit conduire a des actions de revocation, pas seulement a un constat. Tracer chaque action."
        },
        {
            "uuid": "088b4eac77484077bd273cec4bd27e43",
            "category": "operational",
            "audience": [
                "technician"
            ],
            "severity": "critical",
            "title": "Reduire automatiquement les droits a la sortie d'un collaborateur",
            "content": "Le jour meme du départ d'un collaborateur, ses droits doivent etre revoques : compte AD desactive, badges retires, certificats revoques, sessions VPN coupees. Integrer cette procedure dans le processus RH de sortie. Un retard d'un jour suffit pour qu'un ancien employe mecontent emporte des données."
        },
        {
            "uuid": "ee560fe1212d44c991dd64d6bab49b9f",
            "category": "operational",
            "audience": [
                "technician",
                "manager"
            ],
            "severity": "mandatory",
            "title": "Faire valider la revue par le manager métier",
            "content": "L'equipe IT ne connait pas les besoins métier reels. La revue doit etre validee par le manager qui sait si tel collaborateur a encore besoin de tel acces. L'outil IAM (Sailpoint, Okta, ManageEngine ADManager) facilite ces validations par campagne. Une revue sans validation manager est purement cosmetique."
        },
        {
            "uuid": "1a216ea2964f45cab76fda9e66587369",
            "category": "operational",
            "audience": [
                "technician"
            ],
            "severity": "recommended",
            "title": "Detecter le cumul d'habilitations incompatibles",
            "content": "La segregation des taches (par exemple, le meme utilisateur ne doit pas pouvoir creer un fournisseur ET valider son paiement) est un contrôle anti-fraude. La revue mensuelle doit detecter les cumuls incompatibles. Definir une matrice SoD (Segregation of Duties) et l'auditer automatiquement avec l'outil IAM."
        },
        {
            "uuid": "e4550f3490f54739be4824dfc4353132",
            "category": "operational",
            "audience": [
                "technician",
                "manager"
            ],
            "severity": "recommended",
            "title": "Tracer les changements d'habilitation",
            "content": "Sans traçabilite, impossible d'expliquer pourquoi tel utilisateur a obtenu tel droit, ni quand. Tracer chaque demande d'habilitation, son validateur, sa date, sa justification. Cette traçabilite est exigée par RGPD art. 30 (registre des traitements) et par les auditeurs internes."
        },
        {
            "uuid": "6d7e1dcd219740c09acfb91247a41bce",
            "category": "training",
            "audience": [
                "technician",
                "manager"
            ],
            "severity": "recommended",
            "title": "Sensibiliser les managers a leur role de validateur",
            "content": "Les managers approuvent souvent les revues sans regarder, par manque de temps ou de comprehension. Les sensibiliser : ce qu'ils signent les engage juridiquement. Fournir un guide visuel et un canal de questions pour qu'ils puissent reellement valider en connaissance de cause."
        }
    ]
}