P.I.L.O.T.E

2 min de lecture

5.1 Identité, authentification et contrôle d’accès (PR.AA)

Objectif de la catégorie

Cette catégorie vise à garantir que seuls les utilisateurs, services et équipements autorisés et authentifiés peuvent accéder aux actifs de l’organisation, en respectant les principes du moindre privilège et de séparation des tâches.

Protection

L’identité est le premier rempart de la sécurité. Toute faille ici ouvre la porte à l’ensemble du système.

PR.AA-01 : Gestion des identités et des informations d’identification

  • Mise en place d’un référentiel d’identités :
    • Employés, sous-traitants, comptes de service, machines
  • Cycle de vie des identités :
    • Création → modifications (changement de rôle) → révocation
  • Gestion des secrets :
    • Mots de passe, clés, tokens API, certificats

PR.AA-02 : Vérification des identités selon le contexte

  • Authentification contextuelle (risk-based) :
    • Exemples : MFA obligatoire en dehors du réseau interne, contrôle géographique
  • Adaptation au niveau de sensibilité des actions :
    • Connexion à un SI critique = plus de facteurs

PR.AA-03 : Authentification des utilisateurs, services et matériels

  • Politique d’authentification formelle :
    • MFA requis pour tous les accès externes
    • Authentification forte sur tous les systèmes critiques
  • Authentification machine : certificats, TPM, clés SSH

PR.AA-04 : Protection, transmission et validation des assertions d’identité

  • Chiffrement des échanges (TLS 1.2+ obligatoire)
  • Limitation de l’exposition des tokens et cookies (scope, durée de vie)
  • Validation forte côté service consommateur (vérification de l’origine)

PR.AA-05 : Gestion des autorisations et des droits

  • Politique d’accès basée sur les rôles (RBAC) ou attributs (ABAC)
  • Application stricte du moindre privilège
  • Revue régulière des droits :
    • Tous les 6 mois pour les profils sensibles
    • À chaque changement de poste
  • Journalisation des attributions/désactivations

PR.AA-06 : Contrôle de l’accès physique

  • Badge, biométrie, contrôles manuels si besoin
  • Zones à accès restreint (ex : salles serveurs, armoires réseau)
  • Journalisation des entrées/sorties (vidéosurveillance, logs)

Synthèse opérationnelle

ÉlémentPratique recommandée
Référentiel d’identitésIAM centralisé, lié à l’annuaire
AuthentificationMFA obligatoire pour accès distant
Contrôle d’accèsRBAC avec revue périodique
SecretsStockés dans un coffre-fort numérique (ex : HashiCorp Vault)
Accès physiqueJournalisés, cloisonnés par niveau de sensibilité

Vue Graphique