Google Fonts
Contrôle d’accès & recommandations ANSSI : baseline opérationnelle (2026)
2026-02-08Réglementaire4 min

Contrôle d’accès & recommandations ANSSI : baseline opérationnelle (2026)

Comptes partagés, droits trop larges, accès prestataires non maîtrisés : une baseline centrée contrôle d’accès, alignée sur les principes ANSSI.

ANSSIContrôle d’accèsGestion des identitésMFAJournalisation

Disclaimer : cet article propose une lecture pratique. Il ne remplace pas un conseil juridique.

Pourquoi le contrôle d’accès est le sujet n°1

Dans la plupart des systèmes, le risque le plus fréquent n’est pas la technologie elle-même, mais qui peut accéder à quoi : consultation, export, suppression, administration, accès distant, support.

Les recommandations ANSSI insistent sur des principes très concrets : maîtrise des identités, moindre privilège, sécurisation des accès à privilèges, et traçabilité. Ce sont les fondations d’une baseline contrôle d’accès.

1) Les 5 briques du contrôle d’accès

  • Authentification : prouver l’identité (mot de passe, MFA, certificats, SSO).
  • Autorisation : ce que la personne peut faire (rôles, permissions fines, périmètres).
  • Accès à privilèges : actions d’administration et comptes sensibles.
  • Cycle de vie : arrivée, changement de rôle, départ, accès temporaires.
  • Traçabilité : logs exploitables (accès, exports, changements de droits, actions d’admin).

Point clé : « voir », « exporter » et « administrer » ne doivent jamais être un seul et même droit.

2) Baseline (10 règles) alignée sur les principes ANSSI

  1. Comptes strictement nominatifs
    • Interdire les comptes partagés.
    • Y compris pour les prestataires.
  2. Moindre privilège par défaut
    • Accorder le minimum nécessaire.
    • Retirer systématiquement les droits “au cas où”.
  3. Rôles standardisés + matrice de droits
    • Définir des profils stables.
    • Valider qui a le droit de : consulter, rechercher, exporter, supprimer, administrer.
  4. Séparation des fonctions
    • Séparer exploitation quotidienne et administration.
    • Séparer les droits d’export des droits de consultation si possible.
  5. MFA obligatoire pour les comptes sensibles
    • MFA pour l’administration.
    • MFA pour tout accès distant.
  6. Accès prestataires “à la demande”
    • Accès temporaire, limité, et révocable facilement.
    • Fenêtre d’accès formalisée (durée, périmètre, motif).
  7. Gestion des comptes à privilèges
    • Minimiser le nombre de comptes admin.
    • Utiliser un compte “urgence” uniquement en dernier recours, avec contrôle renforcé.
  8. Process habilitations (arrivée, changement, départ)
    • Désactivation immédiate au départ.
    • Droits ajustés dès changement de rôle.
  9. Journalisation exhaustive et revue régulière
    • Tracer : connexions, échecs, exports, changements de droits, actions d’administration.
    • Mettre en place une revue périodique, même simple.
  10. Recertification des droits
    • Revue trimestrielle ou semestrielle des habilitations.
    • Validation explicite des droits conservés.

3) Cas typiques (et règle simple associée)

  • Un opérateur a besoin de consulter, pas d’exporter
    • Profil “opérateur” sans export.
  • Un responsable doit exporter en cas d’incident
    • Droit d’export limité à quelques personnes, avec justification et traçabilité.
  • Un prestataire intervient ponctuellement
    • Accès temporaire + MFA + logs + révocation immédiate.
  • Une personne change de périmètre
    • Retirer les anciens droits, puis accorder les nouveaux, sans cumul.

4) Checklist “15 minutes”

  • [ ] Aucun compte partagé
  • [ ] MFA activé pour admin et accès distants
  • [ ] Rôles standardisés et matrice de droits validée
  • [ ] Droits d’export limités et justifiés
  • [ ] Admin séparée de l’exploitation
  • [ ] Accès prestataires temporaires et tracés
  • [ ] Process arrivée/départ documenté
  • [ ] Recertification périodique des habilitations
  • [ ] Logs activés : accès, exports, admin, changements de droits
  • [ ] Revue régulière des événements clés (exports, changements de droits, échecs)

Conclusion

En 2026, une baseline “ANSSI-friendly” commence par un contrôle d’accès robuste : identités claires, droits minimaux, MFA sur les comptes sensibles, et preuves via la journalisation. C’est le moyen le plus rapide de réduire les risques, sans alourdir l’exploitation.

Vous voulez valider rapidement votre contrôle d’accès (comptes, rôles, MFA, logs) ?

Partagez : vos profils d’utilisateurs, vos besoins d’export, vos contraintes d’accès distant, et votre mode de support. Vous recevrez une grille de cadrage en 15 points + une baseline de droits prête à configurer.

Articles récents :

Vidéoprotection & RGPD 2026 : obligations et checklist pratique
Vidéoprotection & RGPD 2026 : obligations et checklist pratique2026-01-14
Cloud souverain et vidéoprotection : architecture conforme, sécurisée et réversible en 2026
Cloud souverain et vidéoprotection : architecture conforme, sécurisée et réversible en 20262026-03-02
IA de sûreté en 2026 : cas d’usage concrets, limites et cadre RGPD
IA de sûreté en 2026 : cas d’usage concrets, limites et cadre RGPD2026-03-25
Un Projet? Contactez-nous