Skip to content

Un auditeur demande la preuve que les revues d'accès ont lieu chaque trimestre. Que fournissez-vous ?

Réponse courte

Les auditeurs vérifient des preuves, pas des intentions : présentez la politique de revue d'accès, des relevés datés de chaque revue avec la validation d'un approbateur, et la confirmation que les accès signalés ont bien été révoqués et vérifiés. Une confirmation verbale ne prouve rien de reproductible, une promesse de commencer le trimestre prochain montre que le contrôle ne fonctionnait pas pendant la période auditée, et un organigramme décrit des liens hiérarchiques, pas des décisions d'accès. Seuls les artefacts datés et attribuables démontrent que le contrôle a fonctionné comme prévu sur toute la période.

Les auditeurs ne notent pas les bonnes intentions. Ils vérifient si un contrôle a fonctionné comme prévu tout au long de la période examinée, et la seule chose qui le démontre est une preuve que vous pouvez désigner, dater et attribuer à une personne.

Ce que « preuve » signifie réellement

Pour une revue d'accès trimestrielle, un auditeur attend une chaîne d'artefacts : la politique qui impose des revues trimestrielles et en désigne les responsables ; un relevé daté pour chaque revue (un ticket, un rapport signé, un export de votre outil IGA) ; la validation d'un approbateur montrant qu'un manager nommé a confirmé l'accès de chaque utilisateur ; et la preuve du suivi — que tout accès signalé pour suppression a bien été révoqué et que la révocation a été vérifiée. Ensemble, ces éléments montrent que le contrôle s'est déclenché quatre fois, a été exécuté par les bonnes personnes et a modifié la réalité.

Pourquoi les mauvaises réponses échouent

La confirmation verbale est invérifiable et non reproductible ; un auditeur ne peut pas la tester, et elle ne porte ni date ni responsable. Promettre de commencer le trimestre prochain est un aveu pur et simple que le contrôle n'a pas fonctionné pendant la période auditée, ce qui constitue une constatation, pas une preuve. L'organigramme décrit des liens hiérarchiques, pas qui a revu les accès ni ce qui a été décidé — il répond à une tout autre question.

Le jugement évalué

L'intervieweur veut voir que vous raisonnez comme l'audité, pas comme l'auditeur : vous anticipez la demande et conservez les artefacts comme un sous-produit de l'exécution du contrôle, plutôt que de les reconstituer dans l'urgence. Une bonne réponse distingue aussi la conception (la revue existe et est bien définie) de l'efficacité opérationnelle (elle a réellement eu lieu chaque trimestre), car les auditeurs testent les deux. Enfin, les meilleurs candidats évoquent l'échantillonnage : un auditeur choisira des utilisateurs ou des trimestres précis et vous demandera de produire la trace ; la preuve doit donc être complète et récupérable, pas une simple capture d'écran. Traiter la preuve comme une production continue du processus — et non comme un livrable de dernière minute — est la marque d'un praticien GRC mature.

Questions de suivi probables

  • Comment échantillonneriez-vous les revues pour montrer que le contrôle a fonctionné chaque trimestre, et pas une seule fois ?
  • Quelle preuve montre que les accès signalés pour suppression ont réellement été révoqués et le sont restés ?
  • Comment gérez-vous un trimestre où une revue a été complètement oubliée ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.