📄 Procédure RH – Gestion du cycle de vie des comptes utilisateurs
Référence interne : SEC-PRO-002
Rédacteur : Sylvain SCATTOLINI
Version : 1.0
Date : 10/11/2025
Références : NIS2 (Art. 21), ISO 27001 A.5.15–A.5.19, Guide ANSSI « Hygiène informatique »
🎯 Objectif
Garantir que chaque compte utilisateur ou administrateur soit :
- Créé, modifié et supprimé de manière contrôlée et traçable ;
- Attribué uniquement aux personnes autorisées ;
- Supprimé immédiatement lors d’un départ ou d’un changement de poste ;
- Révisé régulièrement pour éviter les accès obsolètes.
👥 Rôles et responsabilités
| Rôle | Responsabilités principales |
|---|---|
| RH | Notifie l’arrivée, le départ ou la mutation d’un salarié via un formulaire standard. |
| Responsable hiérarchique | Valide les accès nécessaires (applications, dossiers, rôles). |
| Responsable informatique (SI) | Crée, modifie ou supprime les comptes conformément aux demandes validées. |
| Utilisateur | Utilise ses identifiants de manière personnelle, conforme à la charte informatique. |
🧩 Processus
1️⃣ Création de compte
- La RH crée une demande d’arrivée dans GLPI ou un formulaire dédié.
- Le responsable hiérarchique valide les accès nécessaires (groupes AD, applications, NAS, ERP, mail, etc.).
- Le service informatique :
- Crée le compte nominatif dans Active Directory (ou autre système).
- Affecte les groupes de sécurité appropriés (principe du moindre privilège).
- Active le MFA et définit un mot de passe initial à changer à la première connexion.
- Le compte est consigné dans le registre des accès (tableau ou GLPI).
2️⃣ Modification de compte
- Toute modification de fonction, service ou rôle fait l’objet d’une demande RH.
- Les anciens droits sont retirés avant l’attribution des nouveaux.
- Les changements sont tracés (date, demandeur, validateur, opérateur IT).
3️⃣ Suppression de compte
-
À réception de la notification RH de départ :
- Le compte AD est désactivé immédiatement.
- Suppression sous 30 jours après vérification (rétention si nécessaire pour audit).
- Révocation des accès cloud, VPN, NAS, ERP, messagerie, etc.
- Transfert des données professionnelles au responsable hiérarchique.
-
Un contrôle hebdomadaire ou mensuel vérifie que tous les comptes désactivés ont bien été supprimés.
4️⃣ Revue périodique
- Une revue trimestrielle des droits est réalisée :
- Vérification des comptes actifs vs salariés RH.
- Vérification des groupes à privilèges.
- Rapport de conformité validé par le responsable informatique.
🔒 Mesures complémentaires
- Tous les comptes doivent être nominatifs (pas de comptes partagés).
- Les comptes administrateurs doivent être distincts des comptes standards.
- Les mots de passe et secrets sont gérés via Passbolt.
- L’accès à distance doit être protégé par MFA.
- Les journaux de connexion sont conservés et centralisés.
📦 Documents associés
- Formulaire GLPI “Demande de compte utilisateur”
- Formulaire GLPI “Départ / suppression compte”
- Charte informatique utilisateurs
- Registre des comptes et droits d’accès
- Journal des actions administratives (SI)
📊 Indicateurs de conformité
| Indicateur | Objectif |
|---|---|
| % de comptes MFA activés | 100 % des comptes sensibles |
| Délai moyen de suppression après départ | < 24 h |
| Fréquence de revue des droits | 1 fois / trimestre |
| Nombre de comptes partagés | 0 |
| Taux de documentation complète (GLPI / registre) | > 95 % |
✅ Validation
| Fonction | Nom | Signature | Date |
|---|---|---|---|
| Responsable RH | |||
| Responsable Informatique | Sylvain SCATTOLINI | ||
| Direction Générale |
No comments to display
No comments to display