Sélection de la langue

Mise en œuvre des contrôles d’accès et des autorisations

Petites et moyennes organisations : Mise en œuvre des contrôles d’accès et des autorisations

Les dispositifs informatiques modernes permettent souvent l’octroi d’autorisations particulières aux utilisateurs individuels. Cette capacité de contrôler étroitement ce que chaque personne peut faire se révèle avantageuse sur le plan de la sécurité des TI. Toutefois, votre organisation peut trouver difficile de fournir et de gérer l’accès aux dispositifs et aux applications du réseau. Les niveaux d’accès aux actifs et aux systèmes d’information peuvent varier grandement, et la gestion de ces différents accès peut s’avérer longue et coûteuse.

De quelle façon votre organisation peut-elle mettre en œuvre des contrôles d’accès et des autorisations?

Presque tous les dispositifs informatiques requièrent l’utilisation de comptes (nom d’utilisateur) pour permettre l’accès à différentes fonctions et l’accomplissement de tâches. Pour veiller à une responsabilisation claire, votre organisation devrait fournir aux utilisateurs des comptes individuels uniques. Elle devrait éviter d’octroyer des comptes partagés.

Les comptes administrateurs disposent d’autorisations accrues. Les auteurs de cybermenace peuvent exploiter ces comptes à des fins malveillantes. Votre organisation devrait se baser sur le principe des autorisations minimales en attribuant aux utilisateurs les niveaux d’accès minimaux dont ils ont besoin pour accomplir leurs tâches.

Votre organisation ne devrait pas permettre aux comptes administrateurs la possibilité d’accomplir les tâches d’un utilisateur régulier (p. ex. navigation sur Internet, vérification de courriels, exécution d’applications qui ne requièrent pas d’autorisations accrues). Il n’y a aucune raison d’utiliser un compte administrateur pour accomplir ce type d’activités quand un compte utilisateur permet de le faire.

Les employés vont et viennent, et le même principe devrait s’appliquer à leurs comptes. Votre organisation devrait mettre en œuvre un processus et des outils permettant de gérer le cycle de vie des comptes utilisateurs pour veiller à l’activation des comptes uniquement au besoin.

Les organisations devraient sérieusement envisager de mettre en place des systèmes d’autorisation centralisés, comme Lightweight Directory Access Protocol ou Active Directory.

Recommandations pour votre organisation :

  • Attribuer des comptes uniques à chaque utilisateur;
  • Octroyer aux comptes utilisateurs les autorisations minimales nécessaires à l’accomplissement des fonctions requises; 
  • Restreindre les accès des comptes administrateurs pour qu’ils permettent uniquement d’accomplir des activités administratives;
  • Envisager de mettre en place un système d’autorisation centralisé.

Information supplémentaire :

Date de modification :