PolicyForge
Tous les articles
6 min

Comment rédiger une politique de contrôle d'accès

Ce qu'une politique de contrôle d'accès doit couvrir pour réussir un audit ISO 27001 ou SOC 2 — moindre privilège, arrivée-mobilité-départ, revues d'accès — avec un modèle prêt à l'emploi.

Pourquoi le contrôle d'accès est si scruté

Le contrôle d'accès est l'origine de la plupart des compromissions et de la plupart des écarts d'audit. La politique prouve que vous décidez qui accède à quoi, sur quelle base, et comment vous retirez cet accès. C'est la colonne vertébrale de l'Annexe A d'ISO 27001 et des critères d'accès logique SOC 2.

Quoi inclure

  1. Principes — moindre privilège et besoin d'en connaître comme posture par défaut.
  2. Modèle d'accès — contrôle d'accès basé sur les rôles (RBAC) : l'accès suit les rôles, pas les individus.
  3. Arrivée-mobilité-départ — comment l'accès est accordé à l'embauche, modifié au changement de poste, et révoqué au départ (idéalement le jour même).
  4. Authentification — liens vers vos exigences mots de passe et MFA.
  5. Accès à privilèges — contrôles renforcés, séparation des tâches, élévation just-in-time si possible.
  6. Revues d'accès — recertification périodique (ex. trimestrielle pour les privilèges, annuelle pour le standard), avec preuves conservées.
  7. Comptes tiers et de service — propriétaire, expiration et revue.

Erreurs fréquentes

  • Pas de processus de départ — les comptes orphelins attirent les auditeurs.
  • Des revues d'accès sans preuve ; si ce n'est pas tracé, ça n'a pas eu lieu.
  • Confondre la politique (les règles) et la procédure (les étapes). Il vous faut généralement les deux.

Alignement référentiels

Correspond à l'Annexe A 5.15–5.18 d'ISO 27001:2022, aux critères d'accès logique SOC 2, et à la fonction Protéger du NIST CSF (PR.AA).

Générez-la en quelques minutes

Voir un exemple de politique de contrôle d'accès ou générez la vôtre gratuitement.