Points clés
- L'ANS (Agence du Numérique en Santé) recommande dans son référentiel de sécurité cinq indicateurs clés pour piloter la gestion des habilitations : taux de comptes désactivés dans les délais requis, taux de comptes recertifiés dans l'année, taux de comptes partagés détectés, délai moyen d'attribution des accès pour les nouvelles arrivées, et taux de revues de droits réalisées à la suite de changements de poste.
- Le benchmark sectoriel de l'Identity Defined Security Alliance (IDSA, 2023) indique que les organisations atteignant un "score de maturité identité" élevé réduisent de 64 % leur probabilité de subir un incident lié à des accès non autorisés — illustrant la corrélation mesurable entre pilotage des habilitations et réduction du risque.
- La directive NIS2 impose aux entités essentielles de définir des indicateurs de performance pour leurs mesures de cybersécurité et de les soumettre à revue périodique par les organes de direction — une exigence qui formalise le pilotage des habilitations par des métriques comme obligation réglementaire.
Le pilotage de la gestion des habilitations par des indicateurs transforme une activité administrative en un levier de sécurité mesurable. Sans métriques, la gestion des habilitations reste une fonction opérationnelle dont il est impossible de démontrer l'efficacité à la direction, ni de justifier les investissements nécessaires à son amélioration. Avec des indicateurs bien choisis, la direction dispose d'une vision objective de l'état du dispositif et de son évolution dans le temps.
Le choix des indicateurs est aussi important que leur mesure : des indicateurs mal construits peuvent donner une fausse impression de maîtrise. Un taux de recertification de 95 % peut masquer que les 5 % non recertifiés sont précisément les comptes à droits les plus élevés. Un pilotage efficace combine des indicateurs de processus (ce qu'on fait) et des indicateurs de résultat (l'effet sur le risque).
Indicateurs de processus : mesurer ce qu'on fait
Les indicateurs de processus mesurent l'exécution des procédures de gestion des habilitations :
Délai de désactivation à la sortie : délai moyen entre la date de départ déclarée et la date de désactivation effective des accès. Cible recommandée : moins de 24 heures pour les comptes à privilèges, moins de 48 heures pour les comptes standard. Un délai supérieur à 7 jours est un signal d'alerte.
Taux de recertification : pourcentage de comptes actifs ayant fait l'objet d'une recertification dans la période définie. Cible : 100 %. Un taux inférieur à 90 % indique des lacunes dans le processus de recertification à investiguer.
Taux de comptes sans activité récente : pourcentage de comptes actifs n'ayant généré aucune connexion depuis N jours (N défini selon les politiques, typiquement 60 ou 90 jours). Ces comptes sont des candidats à la désactivation ou à une investigation sur leur légitimité.
Indicateurs de résultat : mesurer l'impact sur le risque
Les indicateurs de résultat mesurent l'impact du programme sur le niveau de risque :
Nombre de comptes orphelins détectés : comptes actifs dont le propriétaire ne peut plus être rattaché à une fonction active dans l'organisation. Une réduction continue de cet indicateur mesure l'efficacité du programme de recertification.
Taux d'accès anormaux détectés : nombre d'accès aux données cliniques détectés comme anormaux par les systèmes de surveillance comportementale (UEBA), rapporté au volume total d'accès. Un suivi de cet indicateur dans le temps permet de mesurer l'impact des améliorations du programme d'habilitation sur la fréquence des comportements anormaux.
Nombre d'alertes liées à des accès non autorisés confirmés : incidents confirmés impliquant des accès avec des identifiants légitimes mais non autorisés. Cet indicateur doit tendre vers zéro.
Présentation des indicateurs à la direction
Les indicateurs de gestion des habilitations doivent être présentés à la direction sous une forme qui facilite les décisions : un tableau de bord synthétique avec des seuils d'alerte visuels (vert/orange/rouge), une tendance dans le temps permettant d'évaluer si le programme s'améliore, et une mise en perspective avec les incidents survenus dans la période pour illustrer la corrélation entre état du dispositif et risque matérialisé.
Cas institutionnel : Tableau de bord des habilitations — CHU de Rennes (France)
Le CHU de Rennes a développé à partir de 2022 un tableau de bord de pilotage de la gouvernance des identités intégrant l'ensemble des indicateurs recommandés par l'ANS. Le tableau de bord est présenté mensuellement à la direction du système d'information et trimestriellement au comité de gouvernance de l'établissement. Dès la première année de déploiement, le programme a permis de désactiver 2 300 comptes orphelins identifiés par les indicateurs d'inactivité, réduisant de 18 % le nombre total de comptes actifs dans l'annuaire — une réduction directe de la surface d'attaque documentée et présentée au conseil de surveillance comme résultat concret du programme de gouvernance des identités.
Le NIST Cybersecurity Framework 2.0 (publié en février 2024) a renforcé la fonction "Gouvernance" et introduit des exigences explicites sur le suivi des indicateurs de performance des contrôles de cybersécurité. Pour la gestion des identités (fonction "Protéger — Gestion des identités et des accès"), le framework recommande de définir des KPI spécifiques et de les présenter régulièrement aux organes de décision. Les métriques d'habilitation sont citées comme exemple des mesures qui doivent faire l'objet d'un suivi formalisé.
L'ENISA a publié en 2023 un catalogue d'indicateurs de cybersécurité pour les établissements de santé incluant 12 métriques spécifiques à la gestion des identités et des accès. Ces indicateurs ont été construits sur la base de l'analyse des incidents documentés dans le secteur santé européen, permettant de relier chaque indicateur à des incidents réels qu'une valeur correcte de cet indicateur aurait pu prévenir — un argument direct pour convaincre les directions de l'utilité du pilotage par métriques.
Les Technology Risk Management Guidelines de la MAS incluent des exigences sur le suivi d'indicateurs de risque pour les accès aux systèmes d'information dans les entités financières et les organismes de santé liés. Les KRI recommandés incluent le taux de comptes administrateurs avec MFA activé, le délai de désactivation moyen et le taux de recertification annuel — des métriques directement comparables à celles recommandées pour les établissements de santé dans d'autres juridictions.