Politique Gestion des Accès Logiques : Modèle Word [A.5.15-18]

La politique de gestion des accès logiques est sans doute le document de sécurité le plus scruté lors des audits ISO 27001:2022. Les contrôles A.5.15 à A.5.18 de l'Annexe A couvrent la gestion complète des accès : A.5.15 (Contrôle d'accès), A.5.16 (Gestion des identités), A.5.17 (Information d'authentification), et A.5.18 (Droits d'accès). Et pour cause : selon le rapport Verizon DBIR 2025, plus de 80 % des violations de données impliquent une compromission ou un abus d'identifiants — un chiffre qui illustre pourquoi la gestion des accès est la discipline de sécurité avec le meilleur retour sur investissement. Ce modèle Word, développé par Ayi NEDJIMI, consultant cybersécurité Lead Implementer ISO 27001, documente l'ensemble du cadre de gestion des accès : le principe du moindre privilège (chaque utilisateur n'accède qu'à ce dont il a strictement besoin pour ses fonctions), le modèle de contrôle d'accès par rôles (RBAC — Role-Based Access Control), les exigences d'authentification forte (MFA obligatoire pour tous les comptes à privilèges et pour les accès distants), et le cycle complet de vie des droits d'accès (provisioning lors de l'arrivée, modification lors des changements de poste, déprovisioning lors du départ). Cette politique est indispensable pour les RSSI en cours de certification ISO 27001, pour les DSI qui souhaitent formaliser et documenter leur politique d'accès, et pour les équipes SOC qui ont besoin d'un cadre de référence pour l'analyse des anomalies d'accès. Elle s'articule étroitement avec la politique de mots de passe, la politique de télétravail et BYOD, et l'inventaire des actifs qui définit le périmètre des ressources à accès contrôlé.

Contexte réglementaire et normatif

ISO/IEC 27001:2022 — Contrôles A.5.15 à A.5.18

Ces quatre contrôles forment le pilier "gestion des identités et des accès" (IAM) de la norme ISO 27001:2022 :

• A.5.15 — Contrôle d'accès : des règles pour contrôler l'accès physique et logique aux informations et autres actifs associés doivent être établies et mises en œuvre basées sur les exigences métier et de sécurité de l'information.
• A.5.16 — Gestion des identités : le cycle de vie complet des identités doit être géré, de l'attribution initiale à la révocation, en garantissant l'unicité des identifiants (une identité = une personne physique) et la traçabilité des actions.
• A.5.17 — Information d'authentification : la gestion des informations d'authentification (mots de passe, clés cryptographiques, certificats, tokens MFA) doit être formalisée et contrôlée, avec des règles de robustesse, de rotation et de protection contre la divulgation.
• A.5.18 — Droits d'accès : l'attribution, la revue et la révocation des droits d'accès doivent être gérées selon un processus formalisé, avec des revues régulières des droits pour éliminer les accès excessifs ou obsolètes.

RGPD — Protection des données et contrôle d'accès

Le RGPD impose une protection des données personnelles proportionnelle au risque. Le contrôle d'accès est l'une des mesures techniques et organisationnelles fondamentales (Article 32 RGPD) pour protéger ces données. La politique de gestion des accès doit explicitement couvrir l'accès aux données personnelles : qui y accède, dans quel cadre, avec quels contrôles. Cette cohérence entre la politique IAM ISO 27001 et les obligations RGPD est vérifiée lors des audits ISO 27001 modernes.

Directive NIS 2 — Sécurité des identités et des accès

La directive NIS 2 exige des entités essentielles et importantes la mise en œuvre de mesures de gestion des risques cybersécurité, dont la gestion des identités et des accès est un élément central. Les comptes à privilèges (administrateurs, RSSI, DSI) sont particulièrement concernés — NIS 2 recommande explicitement la MFA pour ces comptes. La politique de gestion des accès doit être cohérente avec les exigences NIS 2 si votre organisation est concernée.

Structure détaillée de la politique de gestion des accès logiques

Chapitre 1 — Principes fondamentaux

Ce chapitre pose les 5 principes fondateurs sur lesquels repose la politique : le principe du moindre privilège (chaque utilisateur dispose uniquement des droits strictement nécessaires à l'exercice de ses fonctions), le principe de séparation des tâches (les fonctions incompatibles — ex: créer un virement et le valider — ne peuvent pas être cumulées par une même personne), le principe du besoin d'en connaître (l'accès à l'information est accordé sur la base du besoin fonctionnel démontré), le principe de traçabilité (toute action sur les systèmes doit pouvoir être attribuée à une identité unique et authentifiée), et le principe de revue périodique (les droits d'accès doivent être revus régulièrement pour détecter et supprimer les accès excessifs ou obsolètes).

Chapitre 2 — Modèle de contrôle d'accès (RBAC)

Ce chapitre décrit le modèle RBAC (Role-Based Access Control) adopté par l'organisation : définition des rôles métier et techniques, matrice des droits d'accès par rôle, processus d'attribution d'un rôle à un utilisateur, processus de création d'un nouveau rôle (validation RSSI requise), et revue périodique des rôles et de leurs droits. Le RBAC simplifie la gestion des droits en associant les droits à des rôles plutôt qu'à des individus — un utilisateur qui change de poste voit ses rôles changer, et ses droits suivent automatiquement.

Chapitre 3 — Gestion des identités et des comptes

Ce chapitre couvre le cycle de vie complet des identités : création des comptes (processus de demande, validation par le manager, création technique), unicité des identifiants (un identifiant par personne, pas de comptes partagés sauf exception documentée), types de comptes (compte utilisateur standard, compte de service, compte d'administration, compte d'accès tiers), comptes privilégiés (définition, protection renforcée, MFA obligatoire, audit des actions), et désactivation/suppression des comptes (lors du départ, délai maximum de désactivation : J+1 pour les départs contraints, J+5 pour les départs planifiés).

Chapitre 4 — Authentification et informations d'authentification

Ce chapitre définit les exigences d'authentification : règles de robustesse des mots de passe (alignées avec la politique de mots de passe), MFA (authentification multi-facteurs) obligatoire pour les comptes d'administration, les accès distants (VPN, RDP, SSH), les comptes à accès aux données sensibles, et les accès aux systèmes critiques, gestion des secrets (coffre-fort de mots de passe, interdiction de mots de passe partagés et de leur transmission par email), et procédures de réinitialisation sécurisée (avec vérification d'identité avant réinitialisation).

Chapitre 5 — Processus d'attribution et de révocation des droits

Ce chapitre documente le processus formel de gestion des droits d'accès : formulaire de demande d'accès avec justification métier, validation par le responsable hiérarchique, validation RSSI pour les accès sensibles, mise en œuvre technique avec traçabilité, communication des accords à l'utilisateur, revue périodique des droits (trimestrielle pour les comptes privilégiés, semestrielle pour les comptes standard), et révocation immédiate lors de changement de fonction ou de départ.

Chapitre 6 — Contrôle des accès distants et BYOD

Ce chapitre couvre les spécificités des accès distants : exigences pour les accès VPN (MFA obligatoire, terminal conforme à la politique BYOD), accès aux applications cloud depuis des terminaux non gérés, accès des prestataires et fournisseurs (accès limité dans le temps, à destination, avec traçabilité renforcée), et contrôles spécifiques pour le télétravail (voir la politique télétravail et BYOD).

Guide d'utilisation étape par étape

1. Cartographier les ressources à accès contrôlé : avant de définir les règles d'accès, identifiez toutes les ressources (applications, systèmes, données, répertoires réseau, services cloud) qui nécessitent un contrôle d'accès. Cette cartographie s'appuie sur l'inventaire des actifs.
2. Définir les rôles métier avec les directions : les rôles RBAC ne peuvent pas être définis par la DSI seule. Impliquez chaque direction métier pour identifier leurs profils types d'utilisateurs et les accès associés. Cet atelier est l'occasion de détecter des accès excessifs existants.
3. Auditer les comptes et droits existants : avant d'appliquer la politique, réalisez un audit complet des comptes et droits existants. Vous découvrirez probablement des comptes inactifs, des droits excessifs, des comptes partagés, et des comptes de service avec des droits d'administrateur. Ces anomalies doivent être corrigées avant de valider la politique.
4. Déployer le coffre-fort de mots de passe : la politique d'authentification n'est réalisable que si les collaborateurs disposent d'outils adaptés (gestionnaire de mots de passe professionnel : CyberArk, Keeper, Bitwarden Business). Déployez l'outil avant de publier la politique pour éviter que les collaborateurs soient dans l'impossibilité technique de respecter les exigences.
5. Implémenter la MFA progressivement : commencez par la MFA obligatoire pour les comptes d'administration et les accès distants (impact limité, criticité maximale), puis étendez aux comptes standard pour les applications les plus sensibles. Un déploiement progressif limite la résistance au changement et permet d'identifier les cas particuliers (employés sans smartphone, systèmes incompatibles).
6. Documenter et automatiser les processus : intégrez les processus d'attribution et de révocation dans les workflows RH (onboarding, mutation, offboarding) et dans l'ITSM. L'automatisation réduit les erreurs et la latence entre les décisions RH et les actions techniques.
7. Planifier les revues de droits : planifiez les revues périodiques de droits dans le plan d'audit interne ou dans un calendrier dédié. Les revues doivent être réalisées par les propriétaires métier (qui décident quels accès sont légitimes), pas seulement par la DSI.
8. Mesurer et améliorer : suivez les KPI d'accès dans le tableau de bord ISMS : temps moyen de déprovisioning, nombre de comptes inactifs, nombre d'accès excessifs détectés en revue, taux de comptes avec MFA activée. Ces indicateurs démontrent l'efficacité de la politique et alimentent l'amélioration continue.

Tableau des contrôles — Checklist gestion des accès logiques ISO 27001

Points de vigilance pour l'audit de certification

1. Comptes administrateurs sans MFA : c'est le finding numéro un lors des audits de certification ISO 27001 et des pentests. En 2025, un compte administrateur sans MFA est une NC majeure incontestable. Remédiation : imposez la MFA pour 100% des comptes admin avant tout audit, sans exception.
2. Comptes d'anciens collaborateurs actifs : les auditeurs demandent systématiquement une liste des comptes désactivés lors des départs et vérifient par sondage que des comptes d'ex-collaborateurs ne sont pas encore actifs. Un seul compte actif d'un collaborateur parti depuis 6 mois suffit pour une NC. Remédiation : automatisez la désactivation des comptes dans le workflow RH.
3. Comptes partagés non documentés : les comptes de type "Admin partagé" ou "compta@société.fr" utilisés par plusieurs personnes violent le principe de traçabilité. Remédiation : inventoriez tous les comptes partagés, documentez les cas d'exception justifiés, et migrez vers des comptes individuels avec délégation formelle.
4. Accès prestataires non révoqués : les VPN prestataires, les accès Bureau à distance, les comptes d'accès temporaires créés pour une intervention et jamais révoqués sont des vecteurs d'attaque critiques. Remédiation : imposez une date d'expiration automatique pour tous les accès tiers et auditez trimestriellement les accès actifs des prestataires.
5. Pas de revue périodique des droits : A.5.18 exige une revue régulière des droits d'accès. Sans preuve de ces revues (compte-rendu, liste de droits modifiés/supprimés), c'est une NC. Remédiation : planifiez et documentez les revues de droits semestrielles minimum, avec validation des propriétaires métier.
6. Droits excessifs sur les comptes de service : les comptes de service avec des droits d'administrateur local ou domaine, souvent créés "par facilité" lors des déploiements, sont des backdoors potentiels. Remédiation : appliquez le principe du moindre privilège aux comptes de service et documentez-le dans l'inventaire des comptes.
7. Politique non cohérente avec les contrôles techniques : si la politique dit "MFA obligatoire pour tous les accès distants" mais que le VPN accepte encore des connexions sans MFA, la politique est fictive. Remédiation : auditez régulièrement la configuration technique pour vérifier l'alignement avec la politique documentée.

Intégration dans le SMSI : liens avec les autres documents

POLITIQUE GESTION DES ACCÈS LOGIQUES (A.5.15-18) ← Cadre IAM
│
├── S'APPUIE SUR →
│   ├── Inventaire des actifs (A.5.9) — ressources à accès contrôlé
│   ├── Politique de classification (A.5.12) — niveau d'accès selon classification
│   └── Registre des risques — risques d'accès non autorisé traités
│
├── ALIMENTE →
│   ├── Politique mots de passe — règles d'authentification détaillées
│   ├── Politique télétravail BYOD (A.6.7) — accès distants
│   ├── Charte utilisateur SI — obligations individuelles des accès
│   └── Procédure onboarding/offboarding — cycles de vie des accès
│
├── EST COHÉRENTE AVEC →
│   ├── Politique cryptographie (A.8.24) — chiffrement des accès
│   ├── Registre sous-traitants (A.5.19) — accès prestataires
│   └── SoA (Clause 6.1.3) — A.5.15-18 inclus et applicables
│
└── EST VÉRIFIÉE PAR →
    ├── Tests techniques (pentest, audit de configuration)
    ├── Revue de droits périodique
    ├── Audit interne (Clause 9.2)
    └── Audit de certification Stage 2 (test des contrôles)

Bonnes pratiques terrain

• Adoptez une approche "Zero Trust" progressive : le modèle Zero Trust ("ne jamais faire confiance, toujours vérifier") est la direction que prennent toutes les organisations matures en matière d'accès. Il ne s'agit pas d'un produit mais d'une architecture et d'un état d'esprit : vérifier l'identité, vérifier la santé du terminal, vérifier le contexte (localisation, heure) avant d'accorder l'accès, même depuis le réseau interne.
• Implémentez le PAM (Privileged Access Management) : pour les comptes les plus sensibles (administrateurs de domaine, administrateurs systèmes critiques), un outil PAM (CyberArk, HashiCorp Vault, Delinea) offre des fonctionnalités essentielles : coffre-fort de mots de passe pour comptes partagés, sessions surveillées enregistrées, rotation automatique des mots de passe, et alertes sur les comportements anormaux.
• Automatisez le joiner-mover-leaver (JML) : les processus d'attribution et de révocation des accès (joiner = arrivant, mover = mutation, leaver = départ) doivent être automatisés ou semi-automatisés via des intégrations entre le SIRH et l'annuaire Active Directory / Azure AD. Chaque heure de délai dans la révocation des accès d'un collaborateur sortant augmente le risque.
• Formez les managers à leur responsabilité dans la revue des droits : les revues périodiques de droits d'accès ne peuvent fonctionner que si les managers comprennent leur responsabilité : c'est eux qui valident ou invalident les accès de leurs collaborateurs, pas la DSI. Simplifiez le processus (envoi automatique de la liste des accès à valider, validation en un clic) pour maximiser le taux de participation.

Questions fréquentes sur la politique de gestion des accès logiques

Quelle est la différence entre authentification et autorisation ?

L'authentification est le processus qui permet de vérifier qu'un utilisateur est bien celui qu'il prétend être. Elle répond à la question "Qui êtes-vous ?" : login + mot de passe, puis MFA (code SMS, application authenticator, clé de sécurité physique). Une authentification réussie ne donne pas encore accès aux ressources — elle établit simplement l'identité. L'autorisation est le processus qui détermine ce qu'un utilisateur authentifié a le droit de faire. Elle répond à la question "Que pouvez-vous faire ?" : après que vous avez prouvé votre identité, le système vérifie vos droits et vous accorde ou refuse l'accès aux ressources demandées, selon votre rôle RBAC. La distinction est cruciale car des failles peuvent exister dans l'un ou l'autre mécanisme indépendamment : un système peut avoir une excellente authentification (MFA forte) mais une mauvaise autorisation (tous les utilisateurs authentifiés peuvent accéder à tout), ou inversement. La politique de gestion des accès logiques ISO 27001 doit couvrir les deux mécanismes avec des contrôles adaptés.

Comment gérer les accès d'urgence ("break glass") sans compromettre la sécurité ?

Les comptes d'accès d'urgence ("break glass accounts") sont des comptes administrateurs de dernier recours utilisés lorsque les mécanismes normaux d'accès sont indisponibles (ex: problème d'Azure AD, panne du système MFA). Ils doivent exister — sans eux, une panne critique pourrait être irréparable — mais ils présentent un risque de sécurité élevé. Les bonnes pratiques pour les gérer en toute sécurité : créez au maximum 2 comptes d'accès d'urgence (un en active directory, un cloud) avec des identifiants complexes stockés dans un coffre-fort physique (enveloppe scellée en coffre, avec double clé) ; activez des alertes immédiates (SIEM) si ces comptes sont utilisés — toute utilisation est anormale et doit déclencher une investigation ; auditez trimestriellement que ces comptes n'ont pas été utilisés normalement et que les mots de passe sont toujours dans le coffre-fort physique ; documentez précisément la procédure d'utilisation (qui autorise l'ouverture du coffre, qui utilise le compte, qui audite l'utilisation après coup) ; et après toute utilisation, rotatez immédiatement les identifiants et réévaluez si l'utilisation était justifiée. Ces comptes doivent être documentés dans votre politique d'accès logiques comme cas d'exception formel.

Comment organiser la revue périodique des droits d'accès ?

La revue périodique des droits d'accès est l'un des contrôles les plus efficaces pour détecter les accès excessifs ou obsolètes, mais aussi l'un des plus fastidieux à mettre en place. Voici un processus pratique en 5 étapes. Extraction des droits actuels : depuis votre annuaire (Active Directory, Azure AD) et vos applications principales, extrayez la liste complète des droits par utilisateur. Des outils comme Varonis, SailPoint ou même des scripts PowerShell peuvent automatiser cette extraction. Envoi aux responsables : envoyez à chaque manager la liste des droits de ses collaborateurs et demandez une validation (confirmé / à révoquer / à modifier) avec une date limite. Simplifiez au maximum le processus de réponse. Traitement des réponses : la DSI traite les demandes de révocation et de modification. Documentez chaque action avec la date et la justification. Clôture de la revue : produisez un compte-rendu de la revue listant les droits vérifiés, les accès révoqués, et les anomalies identifiées. Ce document est la preuve de conformité pour l'auditeur. Suivi des non-réponses : si un manager ne répond pas dans le délai imparti, escaladez et documentez l'escalade. En audit, l'absence de réponse d'un manager doit être traitée comme un risque, pas ignorée. La fréquence recommandée est trimestrielle pour les comptes privilégiés et semestrielle pour les comptes standard.

Pour aller plus loin

• Politique de mots de passe ISO 27001 [NIST + ANSSI]
• Politique Télétravail et BYOD [A.6.7, A.8.1]
• Politique de cryptographie ISO 27001 [A.8.24 + ANSSI]
• Charte Utilisateur SI — Modèle Word [ISO 27001]
• Notre service d'accompagnement ISO 27001 complet