Pour maintenir la sécurité de votre système d’information, il est primordial de limiter les accès aux seules données dont un utilisateur a besoin.
Des niveaux d’habilitation différenciés doivent être mis en place en fonction des besoins.
Les précautions élémentaires #
Définir des profils d’habilitation dans les systèmes en séparant les tâches et les domaines de responsabilité, afin de limiter l’accès des utilisateurs aux seules données strictement nécessaires à l’accomplissement de leurs missions.
Supprimer les permissions d’accès des utilisateurs dès qu’ils ne sont plus habilités à accéder à un local ou à une ressource informatique, ainsi qu’à la fin de leur contrat.
Réaliser une revue annuelle des habilitations afin d’identifier et de supprimer les comptes non utilisés et de réaligner les droits accordés sur les fonctions de chaque utilisateur.
Ce qu’il ne faut pas faire #
- Créer ou utiliser des comptes partagés par plusieurs personnes.
- Donner des droits d’administrateurs à des utilisateurs n’en ayant pas besoin.
- Accorder à un utilisateur plus de privilèges que nécessaire.
- Oublier de retirer des autorisations temporaires accordées à un utilisateur (pour un remplacement, par exemple).
- Oublier de supprimer les comptes utilisateurs des personnes ayant quitté l’organisation ou ayant changé de fonction.