π FICHE DE COURS ΓLΓVEβοΈ
"Droits d'AccΓ¨s Β· Principe du Moindre PrivilΓ¨ge Β· ModΓ¨les d'AccΓ¨s"βοΈ
Version 1.0 β BTS SIO SISR β AnnΓ©e 1 β Semaine 10
π― CompΓ©tences TravaillΓ©esβοΈ
| Code | CompΓ©tence |
|---|---|
| B3.2 | Mettre en Εuvre les mesures de sΓ©curitΓ© de base |
| B3.4 | Gérer les accès et les droits des utilisateurs |
PARTIE I β Authentification vs AutorisationβοΈ
I.A. Deux Concepts DistinctsβοΈ
π Texte
AUTHENTIFICATION vs AUTORISATION
βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
AUTHENTIFICATION (Qui Γͺtes-vous ?)
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
VΓ©rifier l'IDENTITΓ d'un utilisateur
MΓ©thodes :
β’ Mot de passe (ce que je sais)
β’ Badge / clΓ© (ce que j'ai)
β’ Empreinte / Face ID (ce que je suis)
β’ MFA = Combinaison de plusieurs facteurs
Analogie : Montrer sa CARTE D'IDENTITΓ Γ l'entrΓ©e
RΓ©sultat : L'utilisateur est reconnu β Session ouverte
AUTORISATION (Que pouvez-vous faire ?)
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
VΓ©rifier les DROITS d'un utilisateur authentifiΓ©
Questions posées par le système :
β’ L'utilisateur peut-il LIRE ce fichier ?
β’ L'utilisateur peut-il MODIFIER cette base de donnΓ©es ?
β’ L'utilisateur peut-il SUPPRIMER cet enregistrement ?
β’ L'utilisateur peut-il EXΓCUTER ce programme ?
Analogie : Votre badge d'entrΓ©e OUVRE certaines portes
mais PAS d'autres (mΓͺme si vous Γͺtes identifiΓ©)
Résultat : Accès accordé ou refusé selon les droits
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
ORDRE OBLIGATOIRE : Authentification β PUIS β Autorisation
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
PARTIE II β Le Principe du Moindre PrivilΓ¨geβοΈ
II.A. DΓ©finitionβοΈ
Principe du Moindre Privilège (Least Privilege Principle) :
Un utilisateur, un programme ou un processus ne doit disposer que des droits strictement nΓ©cessaires Γ l'accomplissement de sa mission, ni plus, ni moins.
Origine : Principe fondateur de la sécurité informatique, formulé par Jerome Saltzer et Michael Schroeder (MIT, 1975). Toujours d'actualité 50 ans après.
II.B. Pourquoi ce Principe est-il Critique ?βοΈ
π Texte
SCΓNARIO SANS MOINDRE PRIVILΓGE
βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
Entreprise de 50 personnes.
Tous les salariés ont un accès "Administrateur" sur leur PC
(plus pratique pour installer des logiciels...)
MARDI 14H : Le comptable ouvre un email de phishing.
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
β Il clique sur la piΓ¨ce jointe
β Le malware s'exΓ©cute... avec les droits ADMINISTRATEUR
β Le malware peut :
⒠S'installer dans les dossiers système (C:\Windows\System32)
β’ DΓ©sactiver l'antivirus
⒠Modifier les paramètres système
β’ Se propager sur le rΓ©seau avec les droits admin
β’ Chiffrer TOUS les fichiers accessibles (ransomware)
AVEC MOINDRE PRIVILΓGE :
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
β Le comptable a des droits LIMITΓS (utilisateur standard)
β Le malware s'exΓ©cute avec les droits limitΓ©s du comptable
β Il NE PEUT PAS :
⒠S'installer dans les dossiers système
β’ DΓ©sactiver l'antivirus (droits insuffisants)
⒠Modifier les paramètres système
β Impact CONTENU au profil de l'utilisateur uniquement
β Pas de propagation (pas de droits rΓ©seau admin)
La règle d'or :
π Texte
DROITS = BESOIN MΓTIER RΓEL (ni plus, ni moins)
βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
β "Il vaut mieux lui donner trop de droits que pas assez"
β C'est l'erreur la plus commune et la plus dangereuse
β
"Il obtient exactement les droits dont il a besoin"
β Si besoin de droits supplΓ©mentaires β Demande formelle
β "Il Γ©tait admin avant, autant le laisser admin"
β Les droits doivent Γ©voluer avec le poste
β
"Il a changΓ© de poste β Revue et adaptation des droits"
II.C. Applications ConcrΓ¨tes du Moindre PrivilΓ¨geβοΈ
π Texte
EXEMPLES PAR RΓLE EN ENTREPRISE
βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
RΓLE β DROITS APPROPRIΓS
ββββββββββββββββββββββΌββββββββββββββββββββββββββββββββββββββββββ
Commercial β Lecture/Γcriture sur /Clients/
β Lecture sur /Produits/
β β Pas /ComptabilitΓ©/ ni /RH/
Comptable β Lecture/Γcriture sur /ComptabilitΓ©/
β Lecture sur /Clients/ (facturation)
β β Pas /RH/ ni /DΓ©veloppement/
DΓ©veloppeur β Lecture/Γcriture sur /Dev/ (projet assignΓ©)
β Lecture sur /Dev/ (autres projets)
β β Pas /ComptabilitΓ©/ ni /Production/
DRH β Lecture/Γcriture sur /RH/
β β Pas /ComptabilitΓ©/ ni /Dev/
Technicien IT β Admin systΓ¨me (installation, config)
β Lecture logs sur tous les serveurs
β β Pas de lecture /RH/ ni /ComptabilitΓ©/
β (sauf incident documentΓ©)
Stagiaire β Lecture uniquement sur dossier projet
β β Rien d'autre
PRINCIPES ASSOCIΓS
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
β’ SΓ©paration des tΓ’ches : Deux personnes pour valider une action
sensible (ex : comptable saisit, directeur approuve)
β’ Rotation des rΓ΄les : Γviter qu'une personne accumule les droits
β’ RΓ©vocation immΓ©diate : DΓ©part salariΓ© = dΓ©sactivation le jour J
PARTIE III β Les ModΓ¨les de ContrΓ΄le d'AccΓ¨sβοΈ
III.A. DAC β Discretionary Access ControlβοΈ
Contrôle d'accès discrétionnaire
π Texte
DAC β PRINCIPE
βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
Le PROPRIΓTAIRE du fichier dΓ©cide qui peut y accΓ©der.
Fonctionnement :
β Sophie crΓ©e un fichier β Sophie est propriΓ©taire
β Sophie choisit : "Marc peut lire, Julie peut lire et Γ©crire"
β Marc et Julie ont accΓ¨s selon le choix de Sophie
IMPLΓMENTATION
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
Windows NTFS (clic droit β PropriΓ©tΓ©s β SΓ©curitΓ©)
Linux : chmod / chown
AVANTAGES INCONVΓNIENTS
ββββββββββββββββββββββ ββββββββββββββββββββββββββββββ
β
Simple et flexible β Peu adaptΓ© aux grandes structures
β
L'utilisateur contrΓ΄le β Difficile Γ auditer globalement
β
Pas besoin d'admin β Risque : Utilisateur peut accorder
pour chaque modification des droits Γ n'importe qui
USAGE TYPIQUE
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
β’ PME simple
⒠Partages de fichiers entre collègues de confiance
β’ Environnements peu rΓ©glementΓ©s
III.B. MAC β Mandatory Access ControlβοΈ
Contrôle d'accès obligatoire
π Texte
MAC β PRINCIPE
βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
L'ADMINISTRATEUR (ou le système) définit centralement les droits.
Les utilisateurs NE PEUVENT PAS modifier les permissions.
Fonctionnement basΓ© sur des NIVEAUX DE CLASSIFICATION :
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
NIVEAU 4 : TOP SECRET β AccΓ¨s : Directeurs uniquement
NIVEAU 3 : SECRET β AccΓ¨s : Cadres + Directeurs
NIVEAU 2 : CONFIDENTIEL β AccΓ¨s : Tous les employΓ©s permanents
NIVEAU 1 : PUBLIC β AccΓ¨s : Tous (y compris stagiaires)
Règle : Un utilisateur de niveau N peut accéder
aux donnΓ©es de niveau β€ N
(Pas d'accès aux données de niveau supérieur)
AVANTAGES INCONVΓNIENTS
ββββββββββββββββββββββ ββββββββββββββββββββββββββββββ
β
TrΓ¨s sΓ©curisΓ© β Rigide et complexe Γ gΓ©rer
β
ContrΓ΄le centralisΓ© β DΓ©ploiement coΓ»teux
β
Audit simplifiΓ© β Peu adaptΓ© au secteur privΓ©
USAGE TYPIQUE
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
β’ DΓ©fense nationale / renseignement
β’ Secteur militaire
β’ Environnements haute sΓ©curitΓ© (nuclΓ©aire)
β’ OS : SELinux (Linux), Trusted Solaris
III.C. RBAC β Role-Based Access Control ββοΈ
Contrôle d'accès basé sur les rôles
Le modèle le plus utilisé en entreprise. C'est celui que les apprenants configureront en alternance.
π Texte
RBAC β PRINCIPE
βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
Les droits sont attribuΓ©s Γ des RΓLES.
Les utilisateurs reΓ§oivent un ou plusieurs RΓLES.
β Modification de rΓ΄le = Modification automatique des droits
STRUCTURE
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
RΓLES (dΓ©finissent les droits)
βββ RΓ΄le "Commercial" β /Clients/ L+E, /Produits/ L
βββ RΓ΄le "Comptable" β /ComptabilitΓ©/ L+E, /Clients/ L
βββ RΓ΄le "DRH" β /RH/ L+E
βββ RΓ΄le "DΓ©veloppeur" β /Dev/ L+E
βββ RΓ΄le "Admin IT" β Tout en administration
UTILISATEURS (reçoivent des rôles)
βββ Sophie MARTIN β RΓ΄le "Commercial"
βββ Marc DUPONT β RΓ΄le "Comptable"
βββ Julie BERNARD β RΓ΄le "DRH"
βββ Pierre LEFEBVRE β RΓ΄le "DΓ©veloppeur" + "Commercial"
(double mission β double rΓ΄le)
AVANTAGES INCONVΓNIENTS
ββββββββββββββββββββββ ββββββββββββββββββββββββββββββ
β
Facile Γ gΓ©rer β Risque "role explosion"
(modifier le rΓ΄le = (trop de rΓ΄les diffΓ©rents)
modifier tous les users)
β
AuditabilitΓ© claire β Droits individuels limitΓ©s
β
Onboarding rapide
β
Scalable (1 β 10 000)
IMPLΓMENTATION
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
Windows Active Directory :
β Groupes de sΓ©curitΓ© AD = RΓ΄les RBAC
β Utilisateur rejoint le groupe β Droits automatiques
Linux :
β Groupes Linux (addgroup, usermod -aG)
Applications web :
β Table roles + Table user_roles en base de donnΓ©es
PARTIE IV β La Matrice de Droits (ACL)βοΈ
IV.A. DΓ©finition et StructureβοΈ
Matrice de droits (ou matrice d'habilitation ou ACL β Access Control List) :
Tableau à double entrée listant les utilisateurs (ou groupes) en ligne et les ressources (ou fonctionnalités) en colonne, avec le niveau d'accès à l'intersection.
π Texte
STRUCTURE DE BASE
βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
CODES D'ACCΓS STANDARDS
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
β (tiret) : Aucun accΓ¨s
L : Lecture seule (Read)
L+E : Lecture + Γcriture (Read + Write)
L+E+S : Lecture + Γcriture + Suppression (Full Write)
A : Accès total (Admin/Full Control)
X : ExΓ©cution uniquement (scripts, programmes)
EXEMPLE DE MATRICE SIMPLE
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
β/Clients/β/Compta/β/RH/ β/Dev/β/SystΓ¨me/
ββββββββββββββββΌββββββββββΌβββββββββΌββββββΌββββββΌβββββββββ
G_Commercial β L+E β β β β β β β β
G_Comptable β L β L+E β β β β β β
G_DRH β β β β β L+E β β β β
G_Dev β β β β β β β L+E β β
G_Directeur β L β L β L β L β β
G_Admin_IT β β β β β β β β β A
G_Tous β β β β β β β β β β
ββββββββββββββββ΄ββββββββββ΄βββββββββ΄ββββββ΄ββββββ΄βββββββββ
β G_Directeur a L sur tous (vision globale sans modification)
β G_Admin_IT a A sur /SystΓ¨me/ mais PAS sur les donnΓ©es mΓ©tier
(Technicien IT NE LIT PAS les salaires ou donnΓ©es clients)
β G_Tous = Aucun droit (droits explicites obligatoires)
IV.B. Matrice ComplΓ¨te avec Niveaux FinsβοΈ
π Texte
MATRICE DE DROITS β EXEMPLE PME COMPLET
βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
LΓGENDE :
β = Aucun accΓ¨s
L = Lecture
E = Γcriture
S = Suppression
A = Administration (tous droits)
Les cellules combinΓ©es : L+E = Lecture ET Γcriture
β Clients β Compta β Paie β RH β Dev β Sauv. β Logs
βββββββββββββββββββΌββββββββββΌβββββββββΌββββββββΌββββββββΌββββββββΌββββββββΌββββββ
G_Direction β L β L β L β L β β β β β β
G_Commercial β L+E β β β β β β β β β β β β
G_Comptable β L β L+E+S β L+E β β β β β β β β
G_DRH β β β β β L+E β L+E+Sβ β β β β β
G_Dev_Senior β β β β β β β β β L+E+Sβ β β β
G_Dev_Junior β β β β β β β β β L+E β β β β
G_Stagiaire β β β β β β β β β L β β β β
G_Admin_IT β β β β β β β β β β β A β L+E
G_RSSI β β β β β β β β β L β L β L+E+S
βββββββββββββββββββ΄ββββββββββ΄βββββββββ΄ββββββββ΄ββββββββ΄ββββββββ΄ββββββββ΄ββββββ
POINTS CLΓS DE CETTE MATRICE :
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
β G_Dev_Junior : L+E mais PAS Suppression (pas de droit dΓ©truire)
β G_Dev_Senior : L+E+S (peut gΓ©rer la suppression du code)
β G_Stagiaire : Lecture uniquement sur /Dev/ (pas d'Γ©criture)
β G_Admin_IT : Admin sauvegardes ET logs, mais ZΓRO accΓ¨s donnΓ©es
β G_RSSI : Lecture sur tout (audit) mais NE MODIFIE RIEN
β G_DRH : AccΓ¨s paie ET RH (les deux dossiers liΓ©s)
β G_Direction : Lecture seule sur tout (vision stratΓ©gique)
IV.C. Revue PΓ©riodique des DroitsβοΈ
La matrice de droits est un document VIVANT.
π Texte
CYCLE DE GESTION DES DROITS
βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
ΓVΓNEMENTS DΓCLENCHEURS DE MODIFICATION
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
β ARRIVΓE (Onboarding)
β CrΓ©er le compte, assigner les groupes selon le rΓ΄le
β Fiche d'arrivΓ©e signΓ©e par le manager (liste des accΓ¨s requis)
β‘ CHANGEMENT DE POSTE
β Retirer les anciens droits (rΓ΄le prΓ©cΓ©dent)
β Ajouter les nouveaux droits (nouveau rΓ΄le)
β Principe : Jamais d'accumulation de droits
β’ DΓPART (Offboarding) β CRITIQUE
β DΓSACTIVER le compte LE JOUR DU DΓPART (pas "la semaine prochaine")
β RΓ©voquer tous les accΓ¨s (VPN, email, apps cloud, AD)
β TransfΓ©rer les donnΓ©es si nΓ©cessaire
β Conserver le compte dΓ©sactivΓ© 30 jours puis supprimer
β£ REVUE PΓRIODIQUE (tous les 6 mois)
β Parcourir la matrice avec les managers
β "Untel a-t-il encore besoin de ce droit ?"
β Supprimer les droits inutilisΓ©s (audit des logs d'accΓ¨s)
β Documenter la revue (date, participants, actions)
INDICATEUR ROUGE : DROIT JAMAIS UTILISΓ
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
Si un utilisateur a le droit de lire /ComptabilitΓ©/ mais
n'y a jamais accΓ©dΓ© en 6 mois β Supprimer ce droit
β Logs d'accΓ¨s : RequΓͺte SQL sur la table d'audit
SELECT user, resource, COUNT(*) as nb_acces
FROM access_log
WHERE date > DATE_SUB(NOW(), INTERVAL 6 MONTH)
GROUP BY user, resource
ORDER BY nb_acces ASC
PARTIE V β ImplΓ©mentation TechniqueβοΈ
V.A. Windows Active Directory (RBAC avec Groupes)βοΈ
π Texte
IMPLΓMENTATION AD β RBAC PAR GROUPES DE SΓCURITΓ
βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
ΓTAPE 1 β CrΓ©er les groupes (= RΓ΄les RBAC)
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
Dans Active Directory Users and Computers (ADUC) :
CrΓ©er dans l'OU "Groupes_Securite" :
β’ GS_Commercial
β’ GS_Comptable
β’ GS_DRH
β’ GS_Dev_Junior
β’ GS_Dev_Senior
β’ GS_Admin_IT
PowerShell :
New-ADGroup -Name "GS_Commercial" `
-GroupScope Global `
-GroupCategory Security `
-Path "OU=Groupes_Securite,DC=entreprise,DC=local"
ΓTAPE 2 β Ajouter les utilisateurs aux groupes
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
PowerShell :
Add-ADGroupMember -Identity "GS_Commercial" `
-Members "s.martin", "j.dubois", "a.petit"
ΓTAPE 3 β Configurer les droits NTFS sur les dossiers partagΓ©s
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
PowerShell :
# Dossier /Clients/ β GS_Commercial : Modifier (L+E)
$acl = Get-Acl "\\SERVEUR\DonnΓ©es\Clients"
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule(
"ENTREPRISE\GS_Commercial",
"Modify", # Lecture + Γcriture (pas Suppression)
"ContainerInherit,ObjectInherit",
"None",
"Allow"
)
$acl.SetAccessRule($rule)
Set-Acl "\\SERVEUR\DonnΓ©es\Clients" $acl
NIVEAUX NTFS COURANTS
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
β’ FullControl = L+E+S + Droits (Admin complet)
β’ Modify = L+E + Suppression des propres fichiers
β’ ReadAndExecute = Lecture + ExΓ©cution (pas d'Γ©criture)
β’ Write = Γcriture seulement (pas lecture !)
β’ Read = Lecture seule
β’ ListDirectory = Voir le contenu du dossier uniquement
ΓTAPE 4 β DΓ©sactiver un compte lors d'un dΓ©part
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
PowerShell :
Disable-ADAccount -Identity "prenom.nom"
Move-ADObject -Identity "CN=Prenom Nom,OU=Utilisateurs,..." `
-TargetPath "OU=Comptes_Desactives,DC=entreprise,DC=local"
V.B. Linux (Permissions et Groupes)βοΈ
π Texte
IMPLΓMENTATION LINUX β DROITS ET GROUPES
βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
RAPPEL PERMISSIONS LINUX
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
-rwxr-xr-- 1 sophie comptable 1024 mars 15 fichier.txt
βββββββββ
ββββββββββ Autres (r = lecture, - = pas Γ©criture, - = pas exΓ©c.)
ββββββββββ Groupe (r = lecture, - = pas Γ©criture, x = exΓ©c.)
βββββββββββ PropriΓ©taire (r+w+x = lecture, Γ©criture, exΓ©cution)
CODES NUMΓRIQUES (chmod)
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
4 = Lecture (r)
2 = Γcriture (w)
1 = ExΓ©cution (x)
0 = Aucun droit (-)
chmod 750 dossier β PropriΓ©taire: 7(r+w+x), Groupe: 5(r+x), Autres: 0
GESTION DES GROUPES
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
# CrΓ©er un groupe
groupadd gs_commercial
# CrΓ©er un utilisateur et l'assigner au groupe
useradd -m -G gs_commercial sophie.martin
usermod -aG gs_commercial jean.durand
# Appliquer les droits sur un dossier
chown -R :gs_commercial /data/clients/
chmod -R 770 /data/clients/
# 770 β PropriΓ©taire: rwx, Groupe: rwx, Autres: ---
# VΓ©rifier les membres d'un groupe
getent group gs_commercial
# Supprimer un utilisateur d'un groupe (dΓ©part)
gpasswd -d prenom.nom gs_commercial
SUDO β ACCΓS ADMINISTRATEUR CONTRΓLΓ
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
# /etc/sudoers β Donner des droits ciblΓ©s sans accΓ¨s root total
# Technicien IT peut redΓ©marrer les services Apache uniquement :
technicien_it ALL=(root) NOPASSWD: /usr/bin/systemctl restart apache2
# Comptable peut lire les logs uniquement :
comptable_user ALL=(root) NOPASSWD: /usr/bin/journalctl -u mysql
VI. Vocabulaire ClΓ©βοΈ
| Terme | DΓ©finition |
|---|---|
| Authentification | VΓ©rification de l'identitΓ© d'un utilisateur (Qui Γͺtes-vous ?) |
| Autorisation | VΓ©rification des droits d'un utilisateur authentifiΓ© (Que pouvez-vous faire ?) |
| Moindre privilège | Principe : Donner uniquement les droits strictement nécessaires à la mission |
| DAC | Discretionary Access Control β Le propriΓ©taire dΓ©finit les droits |
| MAC | Mandatory Access Control β Le systΓ¨me dΓ©finit des niveaux de classification |
| RBAC | Role-Based Access Control β Les droits sont liΓ©s Γ des rΓ΄les, pas Γ des individus |
| Matrice de droits | Tableau croisant utilisateurs/groupes et ressources avec le niveau d'accès |
| ACL | Access Control List β Liste de contrΓ΄le d'accΓ¨s implΓ©mentant la matrice |
| NTFS | New Technology File System β SystΓ¨me de fichiers Windows permettant les ACL |
| Groupe de sΓ©curitΓ© AD | Objet Active Directory regroupant des utilisateurs pour leur attribuer des droits |
| Onboarding | Processus d'arrivΓ©e d'un collaborateur, incluant la crΓ©ation de son compte et droits |
| Offboarding | Processus de dΓ©part d'un collaborateur, incluant la dΓ©sactivation immΓ©diate du compte |
| Revue des droits | Audit pΓ©riodique (6 mois) vΓ©rifiant que chaque droit est toujours nΓ©cessaire |
| SΓ©paration des tΓ’ches | Principe : Deux personnes pour valider une action sensible (Γ©viter fraude interne) |