Skip to main content

2. Gestion des Accès et Identités (IAM)

1. Exigence réglementaire et bon usage

NIS2

Article 21(2)(c) : Les entités doivent mettre en œuvre des politiques pour la sécurité des accès et la gestion des privilèges, incluant l’authentification multifacteur et la gestion du cycle de vie des comptes.

ISO 27001

  • A.5.15 – A.5.19 : gestion du cycle de vie des identités, attributions des droits, révisions périodiques, suppression des comptes obsolètes.
  • A.5.17 : principe du moindre privilège et séparation des tâches.
  • A.5.18 : authentification forte adaptée aux risques.

Bonnes pratiques ANSSI

  • Comptes nominatifs, non partagés, et distinction claire entre comptes admin et utilisateurs.
  • MFA obligatoire sur tous les accès sensibles.
  • Procédures formalisées d’arrivée, mutation, départ.
  • Revues périodiques des droits d’accès.
  • Journalisation des connexions et élévations de privilèges.

2. État des lieux

Élément Situation actuelle
Gestion centralisée Active Directory (AD) Windows pour toutes les sessions et droits sur serveurs et NAS.
Outils connectés à l’AD GLPI, Passbolt, Grafana, Dashboard, outils internes web via LDAP.
Proxmox Comptes administrateur locaux (même compte pour tous les hôtes).
Comptes Google Gérés manuellement par chaque utilisateur ; mot de passe initial imposé, changement libre.
ERP 4D Gestion interne non connectée à l’AD. Mots de passe faibles (4 caractères, visibles RH).
Comptes administrateurs Comptes AD bien sécurisés. NAS avec comptes admin distincts. Comptes RDP locaux sur serveurs Sage (exigence applicative).
MFA activé sur Compte admin Google, Passbolt, GitHub, fournisseurs web/téléphonie, accès VPN SSL AD.
MFA non présent sur AD, NAS, Proxmox, ERP 4D, comptes utilisateurs Google.
Stockage des mots de passe Déploiement progressif de Passbolt (services SI, compta, commerce). Usage non généralisé.
Procédures de gestion des comptes Pas de procédure formalisée. Formulaire GLPI existant mais non adopté.
Revue des droits Non réalisée périodiquement. Affectation par groupe AD (lecture/écriture) par service.
Journalisation des accès Non collectée centralement (pas de SIEM ni d’agrégation d’événements).

3. Analyse synthétique

Forces

  • Gestion centralisée AD robuste.
  • Intégration LDAP sur plusieurs outils internes.
  • Structuration claire des groupes de droits (R/W) par service.
  • MFA déjà déployé sur plusieurs services critiques.
  • Introduction de Passbolt (gestion des secrets structurée).

Points de vigilance

  • Absence de MFA généralisé (notamment AD, NAS, Proxmox, ERP).
  • Sécurité très faible de l’authentification ERP 4D.
  • Procédure RH d’arrivée/départ non formalisée ni appliquée.
  • Pas de revue périodique des droits.
  • Absence de centralisation ou corrélation des journaux d’accès.
  • Comptes admin Proxmox identiques : pas de traçabilité nominative.

4. Recommandations

🟥 À faire absolument (priorité)

  • Généraliser le MFA pour tous les accès sensibles : AD (via Azure AD ou authenticator tiers), Proxmox, NAS Synology, ERP (si possible).
  • Renforcer immédiatement l’authentification ERP 4D : longueur minimale, suppression de l’affichage en clair, gestion centralisée à terme via LDAP.
  • Mettre en place une procédure RH formelle (création, modification, suppression de compte, checklist départ).
  • Différencier les comptes administrateurs nominativement (Proxmox, serveurs RDP).

🟧 À faire conseillé

  • Étendre Passbolt à tous les services + politique d’usage (création, partage, suppression).
  • Planifier une revue trimestrielle des droits d’accès AD et NAS.
  • Centraliser les journaux d’authentification (AD, VPN, NAS, Proxmox) dans un outil type Grafana/Graylog.
  • Implémenter un processus d’approbation automatique (ex : workflow GLPI) pour les nouvelles demandes d’accès.

🟩 À faire pour le top du top

  • Mettre en place un coffre-fort PAM (Privileged Access Management) pour comptes à privilèges.
  • Activer la corrélation automatique d’événements de connexion (SIEM).
  • Définir un score de conformité IAM dans Grafana (MFA, rotation, validité comptes).

5. Suivi d’action

Action Priorité Responsable Échéance Statut
Activation MFA généralisé (AD, NAS, Proxmox) 🟥 IT [date]
Renforcement sécurité ERP 4D 🟥 Dev / IT [date]
Procédure RH création/suppression compte 🟥 RH + IT [date]
Adoption Passbolt global 🟧 IT [date]
Revue droits trimestrielle 🟧 IT [date]
Centralisation logs accès 🟧 IT [date]

6. Niveau de maturité estimé : 🟡 Moyen

Base technique solide et cohérente, mais gouvernance et MFA incomplets.
La formalisation RH et la sécurisation de l’ERP 4D sont prioritaires à court terme.

No comments to display

Back to top