- L'audit des droits d'accès est distinct de la revue périodique (access review) : l'audit est une analyse approfondie ponctuelle avec des critères d'anomalie définis, là où la revue est un processus continu de recertification.
- Morgan Stanley (2022) : l'amende SEC de 35 millions de dollars pour mauvaise gestion des données clients aurait pu être évitée si un processus d'audit du cycle de vie des actifs contenant des données avait existé — incluant les droits d'accès physiques lors du démantèlement.
- Cathay Pacific (2018) : quatre ans de présence non détectée dans les systèmes passagers — un audit des accès aux bases de données patients et des comportements d'accès anormaux aurait dû identifier l'intrusion bien plus tôt.
- L'audit des droits doit couvrir quatre périmètres distincts : comptes utilisateurs actifs, comptes de service et techniques, accès prestataires, et ressources cloud avec leurs permissions IAM associées.
- Les résultats d'audit ne produisent de valeur que s'ils sont transformés en plans de remédiation avec responsables désignés, délais définis et suivi de l'exécution — sinon ils alimentent un rapport sans effet sur la posture de sécurité réelle.
L'audit des droits et autorisations est l'une des activités les plus révélatrices de l'état réel de la gouvernance des accès d'une organisation. Là où les processus quotidiens masquent les dérives progressives, l'audit les expose systématiquement : comptes orphelins non détectés, droits excessifs accumulés, accès prestataires non révoqués, ressources cloud avec des permissions incohérentes. La valeur de l'audit est directement proportionnelle à la rigueur de sa méthodologie et à l'engagement de l'organisation à traiter les anomalies identifiées.
La confusion fréquente entre audit des droits et access review (recertification périodique) mérite d'être clarifiée. L'access review est un processus continu et systématique : à intervalles définis, les gestionnaires métier valident ou révoquer les droits de leurs équipes. L'audit des droits est une analyse approfondie, souvent déclenchée par un événement (obligation réglementaire, préparation d'une certification, suite à un incident, changement d'architecture) et conduit avec une méthodologie plus rigoureuse et une couverture plus large.
Périmètre et sources de données
Un audit des droits efficace commence par la définition explicite du périmètre : quels systèmes, quels types de comptes, quelle profondeur d'analyse. Un audit trop large sans prioritisation risque de produire un volume d'anomalies ingérable ; un audit trop limité peut manquer les risques les plus significatifs. L'approche recommandée est de prioriser par niveau de criticité des systèmes et de sensibilité des données qu'ils traitent.
Les sources de données d'un audit des droits incluent : l'annuaire centralisé (export des comptes, groupes, membres, dernière authentification), les applications critiques (export des utilisateurs et de leurs rôles), les plateformes cloud (export des politiques IAM, des rôles et de leurs attributions), les données SIRH (liste des employés actifs, dates de départ), et les données de gestion des contrats prestataires. La qualité de l'audit dépend de la qualité et de l'exhaustivité de ces sources — des sources incomplètes génèrent des conclusions incomplètes.
La violation T-Mobile affectant 50 millions de clients a été initiée via une API exposée en périphérie du réseau dont les droits d'accès n'avaient jamais fait l'objet d'audit. L'API concernée — accessible depuis l'internet public — permettait des requêtes non limitées sur des données de clients internes. Un audit de sécurité des API exposées incluant la vérification des droits d'accès, des limites de débit et des règles d'autorisation aurait identifié cette configuration risquée avant l'incident. L'absence d'API dans le périmètre des audits de droits réguliers est une lacune fréquente dans les organisations dont la gouvernance des accès a été conçue avant la généralisation des architectures API-first.
Critères d'anomalie
L'efficacité d'un audit repose sur la définition explicite des critères d'anomalie — les situations qui déclenchent un examen approfondi et une décision de remédiation. Les critères standards incluent : comptes dont la dernière authentification remonte à plus de 90 jours, comptes membres de groupes à privilèges élevés sans documentation de justification, comptes prestataires dont le contrat a expiré, droits accordés en dehors du référentiel de rôles défini, ressources cloud avec des permissions publiques ou trop larges, comptes sans propriétaire désigné dans l'annuaire, credentials sans date de rotation depuis plus de 365 jours.
Les critères doivent être adaptés au contexte : un compte de service sans authentification depuis 90 jours peut être normal (certains services ne s'authentifient qu'à des intervalles longs), tandis qu'un compte utilisateur nominatif dans le même cas est une anomalie. La définition des critères d'anomalie pertinents pour chaque type de compte et chaque système est une étape méthodologique importante qui précède l'analyse des données.
De l'audit au plan de remédiation
Un audit qui produit un rapport sans suivi de remédiation n'améliore pas la posture de sécurité — il consomme des ressources pour constater une situation qui ne change pas. Le suivi post-audit doit être intégré dans le processus : chaque anomalie identifiée est transformée en action corrective avec un propriétaire désigné, un délai de remédiation (immédiat pour les risques critiques, 30 jours pour les risques élevés, 90 jours pour les risques modérés) et un mécanisme de vérification. Le taux de remédiation dans les délais est un indicateur clé de l'efficacité réelle du processus d'audit.
La révélation en 2016 d'une violation datant de 2013 illustre l'absence d'audit efficace des accès aux systèmes d'authentification. L'attaquant avait eu accès à la base de données d'authentification de Yahoo pendant trois ans sans que cet accès soit détecté par les mécanismes de surveillance en place. Un audit des accès aux composants les plus critiques de l'infrastructure — incluant la vérification des comptes ayant accès aux bases d'authentification et l'analyse des patterns d'accès inhabituels — aurait dû identifier la compromission bien avant 2016.
Deutsche Bank a subi un incident impliquant la transmission des données personnelles de 1 200 employés à un destinataire non autorisé, résultant d'une mauvaise configuration des droits d'accès dans un processus RH externalisé. Un audit des droits d'accès sur les processus impliquant des prestataires RH — incluant la vérification des permissions sur les données de paie et d'évaluation — aurait identifié cette configuration risquée. L'incident illustre l'importance d'inclure les processus métier externalisés dans le périmètre des audits de droits d'accès, pas uniquement les systèmes IT internes.
L'attaque contre Sony Pictures a révélé un fichier texte nommé "passwords" contenant des centaines d'identifiants de systèmes critiques stocké sur un serveur interne accessible à un grand nombre d'employés. Ce type d'anomalie — stockage non sécurisé de credentials — est l'une des premières vérifications d'un audit de sécurité des accès. Sa présence dans l'environnement Sony Pictures pendant une durée indéterminée illustre l'absence d'audit des pratiques de gestion des credentials, même basiques, dans l'organisation.