- Ce qui ne se mesure pas ne s'améliore pas : la gestion des accès sans indicateurs de pilotage reste une activité réactive qui ne peut pas démontrer sa contribution à la réduction du risque.
- LastPass (2022) : la compromission du poste d'un développeur disposant d'accès production était un signal mesurable — le nombre de comptes individuels avec accès aux environnements critiques depuis des postes non gérés est un KPI auditable.
- Capital One (2019) : le rôle IAM AWS mal configuré non révisé depuis des années illustre l'absence d'indicateur de couverture des revues d'accès sur les ressources cloud — un KPI essentiel dans les architectures hybrides.
- Les indicateurs de gestion des accès doivent être reportés à la direction et au COMEX, pas uniquement aux équipes techniques : ils traduisent des risques business concrets en métriques compréhensibles.
- L'objectif des KPIs n'est pas d'atteindre des seuils parfaits mais de détecter les dérives et de mesurer les progrès dans le temps — une réduction du délai moyen de déprovisioning de 72h à 4h est un progrès concret mesurable.
La gouvernance des accès a besoin d'indicateurs pour être pilotée efficacement. Sans métriques, il est impossible de distinguer une organisation dont les processus fonctionnent bien d'une organisation dont les processus sont formellement définis mais rarement appliqués. Les indicateurs de gestion des accès permettent de quantifier la qualité du processus, d'identifier les points de friction, de suivre l'impact des améliorations et de rendre compte à la direction et aux instances de gouvernance de façon factuelle.
La définition des bons indicateurs est un exercice qui demande de distinguer les métriques d'activité (volume de demandes d'accès traité, nombre de comptes provisionnés) des métriques de qualité (délai de traitement, taux d'anomalies identifiées lors des revues) et des métriques de risque (taux de comptes inactifs, couverture MFA sur les systèmes critiques). Seules les métriques de qualité et de risque permettent de piloter réellement la posture de sécurité.
Indicateurs de cycle de vie
Le délai moyen de provisioning mesure le temps entre la demande d'accès validée et l'attribution effective. Une cible de moins de 24 heures pour les accès standards et de moins de 4 heures pour les accès urgents est raisonnable dans les organisations avec des processus automatisés. Des délais supérieurs signalent soit un manque d'automatisation, soit des goulots d'étranglement dans le processus de validation.
Le délai moyen de déprovisioning est l'indicateur le plus directement lié au risque : il mesure le temps entre l'événement déclencheur (départ enregistré dans le SIRH, fin de contrat) et la désactivation effective des accès. Une cible de moins de 4 heures pour les départs à risque et de moins de 24 heures pour les départs standards. Ce délai doit être mesuré par catégorie de compte (employés internes, prestataires, comptes de service) et par type de système (annuaire central, applications fédérées, systèmes non fédérés), car les délais varient selon les mécanismes de propagation.
L'attaque par skimming contre British Airways — 500 000 clients affectés, 20 millions de livres sterling d'amende — a illustré l'absence d'indicateurs de surveillance de l'intégrité des composants tiers intégrés au processus de paiement. Un KPI de type "nombre de composants tiers intégrés sans vérification d'intégrité récente" ou "délai depuis la dernière revue de sécurité des scripts tiers actifs" aurait identifié le risque. La difficulté est que ces métriques couvrent une catégorie d'accès — les accès accordés aux scripts et composants tiers — rarement incluse dans les tableaux de bord de gouvernance des accès traditionnels, pourtant directement pertinente pour les sites e-commerce.
Indicateurs de qualité des processus
Le taux de completion des access reviews dans les délais mesure la proportion de demandes de recertification traitées dans le délai défini. Un taux inférieur à 90 % signale soit une charge excessive sur les gestionnaires métier (processus mal conçu), soit un manque d'engagement dans l'exercice de recertification. Le taux d'actions de révocation générées par les access reviews — nombre de droits effectivement révoqués suite aux revues — est un indicateur complémentaire : un taux proche de zéro signale une recertification de complaisance.
Le taux d'exceptions à la politique d'accès mesure la proportion d'accès accordés en dehors du référentiel de rôles défini, avec justification documentée. Un taux élevé signale soit un référentiel de rôles inadapté à la réalité opérationnelle (à corriger en mettant à jour les rôles), soit une politique d'accès contournée systématiquement (à corriger organisationnellement).
Indicateurs de couverture sécurité
La couverture MFA sur les systèmes critiques mesure la proportion de comptes actifs sur ces systèmes protégés par une authentification multi-facteurs. L'objectif est 100 % sur les systèmes à données sensibles et sur tous les comptes à privilèges, avec une distinction entre MFA push (acceptable) et MFA résistant au phishing (requis pour les comptes les plus critiques). Le taux de comptes inactifs depuis plus de 90 jours, le nombre de comptes de service avec des mots de passe non rotés depuis plus de 180 jours, et le taux de couverture des ressources cloud dans les processus de revue sont des indicateurs complémentaires de la qualité de la posture d'accès.
L'incident Colonial Pipeline — rançon de 4,4 millions de dollars, six jours d'interruption — aurait été révélé par un indicateur aussi simple que le nombre de comptes VPN actifs associés à des employés dont le départ est enregistré dans le SIRH. Le compte orphelin utilisé par l'attaquant apparaîtrait dans tout tableau de bord qui croise les comptes d'accès actifs avec les données RH de départ. L'absence de cet indicateur de base dans les processus de pilotage de Colonial Pipeline illustre le niveau de maturité insuffisant de la gouvernance des accès dans les infrastructures critiques d'énergie américaines à l'époque.
La fuite de données SNCF illustre les risques de l'absence d'indicateurs de gouvernance des accès sur les nouvelles plateformes numériques en construction. Dans un contexte de transformation digitale accélérée, les nouvelles ressources et environnements créés échappent souvent aux tableaux de bord de pilotage existants — les KPIs de gestion des accès ne couvrent que les systèmes déjà inventoriés. La mesure de la couverture de la gouvernance des accès (proportion des systèmes inclus dans les processus de revue et de pilotage) est elle-même un indicateur important à suivre.
La violation Medibank — 9,7 millions de clients, données cliniques publiées sur le dark web — a été initiée via des credentials de prestataire compromis. Un indicateur de couverture MFA sur les accès prestataires aux systèmes de données de santé aurait signalé le compte prestataire concerné comme non conforme à la politique d'authentification forte. Dans le secteur de la santé australien, la réglementation post-incident impose désormais des indicateurs de sécurité spécifiques sur les accès tiers aux données de santé, avec obligation de reporting à l'Australian Prudential Regulation Authority.