Comment rédiger une politique de gestion des accès conforme à l’ISO 27001 ?

📅 29 September 2025

Introduction

La gestion des accès est au cœur de la sécurité de l’information.
Sans politique claire, les risques sont multiples : comptes orphelins, accès excessifs, fuites de données.
La norme ISO 27001 impose aux organisations de définir et maintenir une politique de gestion des accès adaptée.

👉 Dans cet article, nous allons voir comment rédiger une politique efficace, étape par étape, et conforme à l’ISO 27001.

Résumé rapide

  • Public cible : responsables IT, RSSI, DPO, administrateurs systèmes.
  • Points clés :
    1. Identifier les rôles et responsabilités
    2. Définir les règles de gestion des comptes et mots de passe
    3. Intégrer la revue régulière des accès
  • À retenir : une politique d’accès documentée est un prérequis pour la certification ISO 27001.

Contexte & enjeux

L’ISO 27001 (contrôles A.9 de l’annexe A) impose de s’assurer que :

  • l’accès à l’information est limité aux personnes autorisées,
  • chaque utilisateur dispose d’un identifiant unique,
  • les droits sont attribués et révisés selon le principe du moindre privilège.

Sans politique, il est impossible de prouver la conformité lors d’un audit.

Étapes pour rédiger une politique conforme

1. Définir le périmètre

  • Qui est concerné ? (salariés, prestataires, stagiaires)
  • Quels systèmes et applications sont couverts ?

2. Établir les rôles et responsabilités

  • Direction : validation de la politique
  • Responsable sécurité / IT : mise en œuvre
  • Managers : validation des demandes d’accès

3. Définir les règles d’attribution et de gestion

  • Processus de création/modification/suppression des comptes
  • Critères de mot de passe et MFA
  • Gestion des comptes à privilèges

4. Revue périodique

  • Fréquence des revues (ex : tous les 6 mois)
  • Vérification des comptes inactifs ou orphelins

5. Suivi et mise à jour

  • Intégrer la politique dans le SMSI
  • Mettre à jour lors de changements organisationnels ou techniques

Bonnes pratiques

  • Utiliser un modèle de politique standard (ex : basé sur ISO 27002)
  • Inclure des exemples concrets (tableau des rôles vs droits)
  • Prévoir une version “simple” pour sensibiliser les utilisateurs finaux

Exemple pratique

Une PME de services financiers a mis en place une politique précisant :

  • chaque nouvel arrivant doit obtenir l’accord de son manager pour tout accès,
  • un contrôle des comptes est effectué tous les trimestres,
  • les droits administrateurs sont limités à 3 personnes dans l’entreprise.

Résultat : diminution de 40 % des accès superflus détectés lors des audits internes.

Conclusion

  • La gestion des accès est un pilier de l’ISO 27001.
  • Une politique claire = conformité + réduction des risques.
  • La politique doit être documentée, validée et mise à jour régulièrement.

Aller plus loin

👉 Télécharger notre checklist de politique d’accès ISO 27001
👉 Consultez nos autres articles sur la conformité ISO 27001.
👉 Contactez-nous à contact@cyberconforme.fr pour un accompagnement personnalisé.

⬅ Revenir en arrière 🏠 Retour à l’accueil