Skip to content

Décrivez le cycle de vie de l'identité, de l'attribution à la suppression. Où la plupart des organisations échouent-elles ?

Réponse courte

La gestion du cycle de vie des identités encadre un compte de sa création à sa fin : attribution à l'arrivée (joiner), ajustement des droits lors d'un changement de rôle (mover), et suppression rapide au départ (leaver), avec des revues d'accès périodiques tout au long. Les défaillances les plus courantes sont l'accumulation de privilèges chez les movers et les comptes orphelins issus de suppressions manquées.

La gestion du cycle de vie des identités relève du domaine IAM et c'est là que la gouvernance rencontre les opérations quotidiennes. Les recruteurs la posent car des processus de cycle de vie défaillants sont à l'origine d'une grande part des fuites réelles.

Les étapes du cycle de vie

  • Arrivée (attribution) — lorsqu'une personne est recrutée ou intégrée, elle reçoit des comptes et des droits selon son rôle, idéalement via une attribution basée sur les rôles afin d'obtenir exactement ce dont le poste a besoin, et rien de plus.
  • Mutation (modification) — lors d'une promotion, d'un transfert ou d'un changement de projet, les accès doivent être ajustés : nouveaux droits ajoutés et anciens droits retirés. L'échec classique ici est de laisser les anciens accès en place.
  • Départ (suppression) — à la fin du contrat ou en cas de licenciement, tous les accès sont révoqués rapidement, idéalement de façon automatique et immédiate pour les départs conflictuels.

Tout au long, les revues d'accès / recertifications périodiques confirment que les personnes ont toujours besoin de ce qu'elles détiennent et qu'aucun compte n'a dérivé hors de la politique.

Où les organisations échouent

Deux défaillances dominent :

  • Accumulation de privilèges — les movers accumulent des droits au fil des rôles au cours des années, violant discrètement le moindre privilège et constituant un compte dangereusement sur-doté. Une recertification régulière en est l'antidote.
  • Comptes orphelins — les partants (ou les comptes de service) dont l'accès n'a jamais été désactivé. Ce sont des cibles de choix pour les attaquants et les anciens employés, et une conclusion d'audit fréquente.

L'automatisation comme remède

Les processus manuels de cycle de vie cèdent face à l'échelle. Relier l'attribution au SIRH comme source autoritaire, utiliser SCIM pour automatiser arrivée/mutation/départ et centraliser via le SSO réduit la fenêtre de risque et rend les revues applicables plutôt qu'aspirationnelles.

Ce que recherchent les recruteurs

Le flux complet arrivée-mutation-départ avec le point explicite que les movers doivent perdre leurs accès périmés, la reconnaissance des revues d'accès comme un contrôle récurrent, et la désignation de l'accumulation de privilèges et des comptes orphelins comme défaillances majeures — idéalement en reliant la remédiation à l'automatisation et au moindre privilège.

Questions de suivi probables

  • Comment une suppression rapide réduit-elle le risque lié aux initiés et aux anciens employés ?
  • Qu'est-ce que l'accumulation de privilèges et comment les campagnes de recertification y remédient-elles ?
  • Comment le SSO et l'attribution automatisée (SCIM) peuvent-ils renforcer le cycle de vie ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.