Quelle est la considération de sécurité la plus importante à prendre en compte lorsqu’un employé change de poste / service au sein d’une même entreprise ?
[A] Résiliation (Termination)
[B] Accumulation de privilèges (Privilege Creep)
[C] Violations de la politique (Violations of Policy)
[D] Utilisation acceptable (Acceptable Use)
Lorsqu’un employé change de poste au sein d’une organisation, il reçoit généralement de nouveaux droits d’accès correspondant à ses nouvelles responsabilités. Cependant, si ses anciens accès ne sont pas révoqués, il accumule progressivement des privilèges excessifs. Ce phénomène est connu sous le nom de Privilege Creep (accumulation de privilèges).
Pourquoi est-ce un problème de sécurité majeur ?
- Violation du principe du moindre privilège (Principle of Least Privilege – PoLP) : Un utilisateur ne devrait posséder que les droits nécessaires pour effectuer son travail.
- Augmentation du risque d’accès non autorisé : En conservant ses anciens privilèges, un employé peut accéder à des ressources dont il n’a plus besoin.
- Risque accru en cas de compromission du compte : Si un cybercriminel prend le contrôle du compte d’un employé ayant accumulé des privilèges, il aura potentiellement un accès beaucoup plus large aux systèmes.
- Non-conformité aux bonnes pratiques de gestion des accès (Identity and Access Management – IAM) : Un processus d’examen régulier des accès doit être mis en place pour éviter l’accumulation de privilèges.
La bonne réponse est la proposition [B]
Pour éviter l’accumulation de privilèges, les entreprises doivent mettre en place une réévaluation systématique des droits d’accès lorsqu’un employé change de poste, en appliquant des pratiques telles que la revue périodique des accès (Access Review) et le contrôle d’accès basé sur des rôles (Role-Based Access Control – RBAC)
Pourquoi les autres réponses sont incorrectes ?
- Résiliation (Termination) : Ce concept est pertinent pour la gestion des accès après un départ mais ici on parle d’un changement de poste en interne.
- Violations de la politique (Violations of Policy) : Le changement de poste ne signifie pas nécessairement que l’employé va enfreindre une politique.
- Utilisation acceptable (Acceptable Use) : Ce concept concerne l’utilisation appropriée des ressources informatiques mais il ne constitue pas le principal risque lors d’un transfert de personnel.
Pour en savoir plus sur les privilèges des utilisateurs et la gestion des droits d’accès nous vous recommandons de suivre le module n°14 de notre formation CISSP en distanciel.
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE
