Sécurité RH, contrôle d'accès et gestion des actifs (Article 21 NIS2) — Piloter l'identité, l'accès et le patrimoine informationnel

L'article 21 §2 (i) de la directive NIS2 impose aux entités essentielles et importantes de mettre en œuvre des mesures de sécurité des ressources humaines, politique de contrôle d'accès et gestion des actifs. Cette mesure tripartite repose sur un principe simple : la sécurité d'un système d'information ne se limite pas à la technique ; elle s'articule autour des personnes (qui), des droits d'accès (comment) et des ressources à protéger (quoi). L'intention du législateur européen est claire : structurer une gouvernance identitaire cohérente tout au long du cycle de vie du personnel, des prestataires et des actifs numériques et physiques.

La mesure couvre trois domaines indissociables : la sécurité des ressources humaines, le contrôle d'accès et la gestion des actifs. Appliquée de manière proportionnée, cette mesure réduit les risques de compromission interne — qu'elle soit malveillante, accidentelle ou résultant d'un tiers de confiance insuffisamment contrôlé. Elle impose de documenter qui peut accéder à quoi, pour quelle raison, pendant combien de temps, et avec quelle traçabilité.

Dans un environnement où 19 % des violations de données impliquent des acteurs internes et 68 % des violations comportent un élément humain — erreur, abus de privilège ou ingénierie sociale, cette mesure constitue la colonne vertébrale des contrôles organisationnels NIS2.

Référentiels et standards qui s'articulent avec cette mesure

ISO/IEC 27001:2022 — contrôles organisationnels, physiques et de personnel

La norme ISO 27001:2022 structure son Annexe A autour de quatre thèmes : contrôles organisationnels, de personnel, physiques et technologiques. ISO 27002:2022 définit le contrôle d'accès comme les moyens garantissant que l'accès physique et logique aux actifs est autorisé et restreint en fonction des exigences métier et de sécurité, nécessitant la création et la mise en œuvre d'une politique de contrôle d'accès.

Les contrôles clés de l'ISO 27001:2022 mobilisables pour la mesure n° 9 incluent :

• A.5.15 — Access control : politique de contrôle d'accès définissant les règles d'attribution, révision et révocation des droits
• A.5.16 — Identity management : gestion du cycle de vie des identités et des droits d'accès, y compris suppression à la cessation
• A.6.6 — Confidentiality and non-disclosure : clauses de confidentialité contractuelles pour employés, prestataires et tiers
• A.6.1 à A.6.8 — People controls : vérification préalable (screening), responsabilités en matière de sécurité, sensibilisation, sortie ou changement de poste
• A.7.1 à A.7.14 — Physical controls : périmètres physiques, contrôle d'accès aux locaux, surveillance, gestion des supports amovibles
• A.8.9, A.8.10, A.8.11 — Gestion de la configuration, suppression des données, masquage des données

Pour gérer l'accès aux actifs, une politique de contrôle d'accès doit être développée, documentée et révisée périodiquement. Le principe directeur est le besoin d'en connaître (need-to-know) et le moindre privilège.

NIST Cybersecurity Framework 2.0 — fonction Protect et Govern

Le NIST CSF 2.0, publié en février 2024, introduit une sixième fonction — Govern — qui encadre la stratégie de gestion des risques cyber, y compris les rôles, responsabilités et politiques. CSF 2.0 définit 6 fonctions : Govern, Identify, Protect, Detect, Respond, Recover, et introduit 31 sous-catégories sous Govern couvrant le contexte organisationnel, la stratégie de risque, les rôles cyber, la politique et la gestion du risque supply chain.

Pour la mesure n° 9, les catégories les plus pertinentes sont :

• GV — Govern : définition des politiques d'identité, responsabilités de sécurité, formation managériale
• ID — Identify : inventaire des actifs (humains, numériques, physiques), cartographie des identités, évaluation des risques liés aux accès
• PR.AA — Identity Management, Authentication, and Access Control : gestion des identités humaines et non-humaines, authentification forte, principe du moindre privilège

NIST CSF 2.0 traite de la sécurité centrée sur l'identité sous la fonction Protect (PR.AA-01), exigeant la gestion des identités humaines et machine selon le principe du moindre privilège et MFA. La convergence entre NIST CSF 2.0 et ISO 27001:2022 facilite la compliance croisée.

Référentiel Général de Sécurité (RGS) — secteur public français

Pour les entités régulées relevant du secteur public, le RGS (actuellement version 2.0) impose des exigences fortes en matière de gestion des identités, habilitations et traçabilité des accès. Le RGS requiert notamment :

• Une politique de sécurité des ressources humaines documentée et approuvée
• Une gestion formelle des habilitations (attribution, révision, retrait)
• Un contrôle d'accès logique et physique proportionné aux niveaux de classification
• Un inventaire des actifs essentiels à la continuité des activités

Guide d'hygiène informatique de l'ANSSI (42 mesures)

Le guide d'hygiène informatique de l'ANSSI propose 42 mesures concrètes pour protéger efficacement les systèmes d'information. Parmi celles liées à la mesure n° 9 :

• Connaître son système d'information et ses utilisateurs (inventaire des actifs et des comptes)
• Authentifier et contrôler les accès (gestion des mots de passe, gestion des privilèges, principe du moindre privilège)
• Sécuriser les postes de travail (verrouillage automatique, désactivation des ports inutiles)
• Limiter et tracer l'utilisation des comptes à privilèges

L'ANSSI publie également des recommandations spécifiques sur l'administration sécurisée des SI, le contrôle d'accès physique et la gestion des secrets.

Mise en œuvre opérationnelle — étapes concrètes

Étape 1 — Définir une politique de contrôle d'accès globale

Rédigez et faites approuver par la direction une politique de contrôle d'accès couvrant :

• Les principes directeurs (need-to-know, moindre privilège, séparation des tâches)
• Les rôles et responsabilités (propriétaires d'actifs, responsables d'habilitation, RSSI)
• Les règles d'attribution, révision périodique et révocation des droits
• La gestion des comptes à privilèges (admin système, domaine, base de données, cloud)
• Les conditions d'accès distant et mobilité
• La traçabilité et la supervision des accès sensibles
• La procédure de sortie (offboarding) et changement de poste (onboarding latéral)

Cette politique doit s'articuler avec la politique de sécurité des ressources humaines et la politique de gestion des actifs.

Étape 2 — Inventorier les actifs informationnels, humains et physiques

Constituez et tenez à jour trois registres interconnectés :

• Registre des actifs informationnels : applications, bases de données, systèmes critiques, dépôts cloud, fichiers sensibles, propriétaire métier, classification (publique / interne / confidentielle / secrète)
• Registre des identités : comptes utilisateurs nominatifs, comptes à privilèges, comptes de service, comptes tiers/prestataires, date de création, dernière révision, statut (actif / suspendu / révoqué)
• Registre des actifs physiques : serveurs, postes de travail, supports amovibles, locaux sensibles (salle serveur, archives), équipements réseau, badges d'accès, clés

Ces registres doivent être maintenus dans un outil de CMDB (Configuration Management DataBase) ou GRC (Governance, Risk, Compliance).

Étape 3 — Structurer la sécurité RH tout au long du cycle de vie

Recrutement et intégration (onboarding)

• Vérification des références et, le cas échéant, enquête de moralité pour postes sensibles
• Signature de clauses de confidentialité et d'engagement de sécurité (NDA, charte informatique)
• Formation à la sécurité de l'information dès l'arrivée (cyber-hygiène, hameçonnage, gestion des mots de passe)
• Attribution des droits d'accès strictement nécessaires au poste, validée par le manager et le propriétaire de l'actif

Pendant la relation contractuelle

• Révision périodique des habilitations (au minimum annuelle, trimestrielle pour comptes à privilèges)
• Formation continue et campagnes de sensibilisation (phishing simulé, rappels procéduraux)
• Gestion des changements de poste : révocation immédiate des anciens droits, attribution des nouveaux droits après validation
• Traçabilité des actions sensibles (logs d'accès, journaux d'audit) avec conservation conforme RGPD et NIS2

Sortie (offboarding) et tiers

• Révocation immédiate de l'ensemble des accès (logiques et physiques) dès notification de départ
• Restitution des équipements (ordinateur, téléphone, badge, clés) consignée sur PV signé
• Désactivation des comptes dans les annuaires (AD, Azure AD, LDAP) et révocation des certificats/tokens
• Contrôle renforcé pour prestataires et sous-traitants : durée d'accès limitée, supervision, revue régulière des droits

Étape 4 — Implémenter une matrice de droits d'accès RBAC ou ABAC

Adoptez un modèle de contrôle d'accès basé sur les rôles (RBAC – Role-Based Access Control) ou basé sur les attributs (ABAC – Attribute-Based Access Control) :

• Définissez des rôles métier standard (comptable, RH, technicien réseau, développeur, etc.) et les droits associés
• Privilégiez l'affectation de rôles plutôt que l'attribution individuelle ad hoc
• Séparez strictement les fonctions sensibles (principe de séparation des tâches)
• Documentez la matrice de droits, validez-la avec les métiers et le RSSI, révisez-la annuellement

Les comptes à privilèges doivent être limités au strict nécessaire, avec authentification multi-facteur obligatoire et traçabilité renforcée.

Étape 5 — Déployer des mécanismes d'accès physique sécurisés

Pour les locaux sensibles (salles serveurs, centres de données, archives) :

• Contrôle d'accès biométrique, badge RFID ou code PIN individuel
• Surveillance vidéo en continu, avec conservation des enregistrements selon politique de rétention
• Registre des accès visiteurs horodaté, validation par le responsable sécurité
• Séparation des zones : publique / restreinte / critique
• Protection contre les intrusions physiques (serrures électroniques, alarmes, détecteurs de mouvement)

Étape 6 — Automatiser la gestion des identités et accès (IAM)

Déployez une solution IAM (Identity and Access Management) ou PAM (Privileged Access Management) pour :

• Provisionner automatiquement les comptes lors de l'arrivée (interface RH / annuaire)
• Déprovisionner automatiquement ou semi-automatiquement lors du départ
• Gérer le cycle de vie des mots de passe (complexité, durée, rotation, historique)
• Réviser périodiquement les droits avec workflow de validation hiérarchique
• Gérer les accès à privilèges temporaires (JIT – Just-in-Time, élévation temporaire)
• Enregistrer les sessions privilégiées (session recording, keystroke logging) pour analyse post-incident

Étape 7 — Révisions périodiques et audits de conformité

Planifiez :

• Revue trimestrielle des comptes à privilèges (administrateurs système, domaine, base, cloud)
• Revue annuelle de l'ensemble des comptes utilisateurs, avec validation managériale
• Contrôle semestriel de l'inventaire des actifs (ajout, suppression, reclassification)
• Audit annuel de conformité aux politiques de contrôle d'accès (interne ou externe)
• Analyse des logs d'accès pour détecter anomalies, dérives, comptes dormants

Les écarts identifiés doivent être tracés dans un plan de remédiation, suivi par le comité de pilotage sécurité.

Prestataires ANSSI à mobiliser pour cette mesure

PASSI / PASSI-LPM — audit et vérification

Les Prestataires d'Audit de la Sécurité des Systèmes d'Information interviennent pour :

• Auditer la politique de contrôle d'accès et sa mise en œuvre effective
• Réaliser des tests d'intrusion (pentest) incluant escalade de privilèges, mouvement latéral, exploitation de comptes à privilèges non sécurisés
• Vérifier la conformité aux exigences NIS2, ISO 27001, RGS
• Identifier les failles dans la gestion des identités (comptes orphelins, droits excessifs, absence de révision)

Pour les OIV (opérateurs d'importance vitale), le recours à un PASSI-LPM (Loi de Programmation Militaire) est obligatoire. Les entités NIS2 non OIV peuvent mobiliser un PASSI classique.

Fréquence recommandée : audit annuel, test d'intrusion bisannuel.

Consulter l'annuaire des PASSI qualifiés ANSSI.

PRIS — réponse à incident impliquant compromission d'identité

Les Prestataires de Réponse aux Incidents de Sécurité interviennent lorsque :

• Un compte à privilèges est compromis (credential stuffing, phishing, vol de session)
• Un mouvement latéral dans l'Active Directory est détecté
• Une exfiltration de données résulte d'un accès indu (interne malveillant ou tiers compromis)

Le PRIS réalise l'investigation forensique, isole les comptes compromis, révoque les privilèges, restaure un état sain, et produit le rapport technique nécessaire à la notification 72 heures NIS2.

En savoir plus sur les prestataires PRIS.

PDIS — détection de comportements anormaux

Les Prestataires de Détection des Incidents de Sécurité opèrent un SOC (Security Operations Center) qui surveille :

• Les connexions à privilèges en dehors des horaires ou zones géographiques habituelles
• Les tentatives répétées d'accès échouées (brute-force, password spray)
• L'utilisation anormale de comptes de service ou d'administration
• Les modifications de permissions non justifiées (ACL, groupes AD)
• Les exportations massives de données par un utilisateur légitime

Le PDIS alerte en temps quasi-réel et transmet les indicateurs de compromission (IoC) au RSSI pour action immédiate.

Découvrir les prestataires PDIS.

PACS — accompagnement stratégique et aide à la mise en conformité

Les Prestataires d'Accompagnement et de Conseil en Sécurité aident les entités à :

• Rédiger les politiques de sécurité RH, contrôle d'accès et gestion des actifs
• Concevoir l'architecture IAM/PAM adaptée à l'organisation
• Former les équipes IT, RH, métiers aux enjeux de cette mesure
• Préparer les audits de conformité NIS2, ISO 27001, HDS
• Mettre en place les indicateurs de pilotage (KPI/KRI) et tableaux de bord sécurité

Trouver un PACS qualifié.

SecNumCloud — hébergement sécurisé et gestion d'identités cloud

Pour les entités utilisant des environnements cloud (IaaS, PaaS, SaaS), le recours à un hébergeur ou prestataire SecNumCloud garantit :

• Une gestion d'identités conforme aux exigences ANSSI (fédération, SSO, MFA)
• La traçabilité fine des accès administrateurs à l'infrastructure cloud
• La segmentation réseau et le cloisonnement des environnements
• Le chiffrement des données au repos et en transit
• L'audit régulier de la configuration IAM cloud (Azure AD, AWS IAM, GCP IAM)

SecNumCloud est particulièrement pertinent pour les entités manipulant des données sensibles régulées (santé, énergie, finance).

Consulter le catalogue SecNumCloud.

Outils techniques recommandés

Annuaires et référentiels d'identités

• Active Directory / Azure AD (Microsoft Entra ID) : gestion centralisée des utilisateurs, groupes, GPO
• OpenLDAP / FreeIPA : solutions open source pour environnements Linux/Unix
• Okta / Auth0 / Ping Identity : IAM cloud, fédération d'identités, SSO

Solutions PAM (Privileged Access Management)

• CyberArk, BeyondTrust, Delinea (ex-Thycotic) : coffre-fort à secrets, gestion des sessions privilégiées, rotation automatique des mots de passe
• HashiCorp Vault : gestion des secrets pour environnements DevOps, API, microservices
• Wallix Bastion, Senhasegura : solutions PAM avec session recording et contrôle d'accès granulaire

SIEM et outils de détection

• Splunk, QRadar (IBM), Microsoft Sentinel : corrélation de logs, détection d'anomalies d'accès
• Wazuh, OSSEC : SIEM open source avec règles de détection sur fichiers de logs IAM
• Varonis, Netwrix : analyse comportementale utilisateurs et droits d'accès fichiers (File Activity Monitoring)

Gestion des actifs et CMDB

• ServiceNow CMDB, Jira Asset Management, i-doit : registre d'actifs IT, cycle de vie des équipements
• Lansweeper, Device42 : découverte automatisée d'actifs réseau et postes de travail

Contrôle d'accès physique

• Systèmes compatibles ANSSI CSPN (Certification de Sécurité de Premier Niveau) pour les équipements de contrôle d'accès physique
• Vigik, HID Global, ASSA ABLOY : badges, lecteurs biométriques, serrures électroniques

Formation et sensibilisation

• KnowBe4, Cyber Coach, Phished, Riot : plateformes de sensibilisation, phishing simulé, micro-learning
• Serious games type [ImmersiveLabs, CyberRange] pour entraînement des équipes techniques

Cas d'incidents documentés — où l'absence de cette mesure a aggravé l'impact

Microsoft — compromission de comptes à privilèges (2024)

En 2024, l'acteur de menace Midnight Blizzard a obtenu l'accès aux emails d'employés de Microsoft via proxys résidentiels et attaques de pulvérisation de mots de passe par force brute. L'absence de MFA systématique sur certains comptes de test et l'insuffisance de surveillance des connexions anormales ont permis une intrusion prolongée. Microsoft a immédiatement renforcé ses politiques de gestion des privilèges et d'accès temporaire.

Target — chaîne d'approvisionnement et accès tiers (2013–2014)

Les attaquants ont exploité le compte d'un fournisseur de services HVAC connecté à Internet pour accéder au réseau de Target. Target a promis de mettre à jour la gestion des accès privilégiés pour tous les fournisseurs tiers, mais le dommage était déjà fait. Cet incident illustre l'importance critique de la gestion des accès tiers et de la révision périodique des droits des prestataires.

Disney — menace interne par ancien salarié (2024)

Un ancien responsable de production de menus chez Disney a manipulé des informations propriétaires de création de menus, remplacé toutes les polices pour rendre les menus légitimes illisibles et ajouté de fausses informations sur les allergènes. L'absence de révocation immédiate des accès à la sortie de ce collaborateur a permis le sabotage. Cet incident souligne la nécessité d'un processus d'offboarding rigoureux.

Rippling — espionnage interne par concurrent (2025)

En mars 2025, Rippling a poursuivi le concurrent Deel pour avoir prétendument infiltré un salarié espion, embauché en 2023 en tant que Global Payroll Compliance Manager, avec accès à Slack, Salesforce et Google Drive. L'activité d'exfiltration de données sensibles (listes clients, tarifs, données employés) est restée non détectée pendant quatre mois. L'insuffisance de surveillance des comportements anormaux et de segmentation des accès par rôle a facilité cette compromission.

Collectivités territoriales françaises — attaques par rançongiciel (2024–2025)

Les PME, TPE et ETI représentent 48 % des victimes de rançongiciels recensées par l'ANSSI en 2025, et les collectivités territoriales représentent 11 % des victimes, avec 8 % concernant des établissements de santé. De nombreux incidents résultent de comptes administrateurs non sécurisés, de mots de passe faibles partagés, et d'absence de MFA. L'exploitation d'équipements périmétriques (VPN, pare-feu) mal patchés combinée à des accès privilégiés non contrôlés a permis la propagation rapide des attaques.

US Treasury — accès privilégié excessif DOGE (2024)

En décembre 2024, des membres de l'équipe DOGE d'Elon Musk ont reçu par erreur un accès élevé à des systèmes de paiement critiques du Trésor américain, avec capacité de lecture et modification de codes systèmes sensibles. Cet incident illustre les risques d'attribution excessive de privilèges et l'importance d'une gestion rigoureuse des habilitations, en particulier pour les intervenants externes.

Sanctions et risques en cas de non-conformité

Sanctions administratives NIS2

L'article 34 de la directive NIS2 prévoit :

• Entités essentielles : amendes administratives jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial consolidé, selon le montant le plus élevé
• Entités importantes : amendes jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial consolidé

Le défaut de mise en œuvre de contrôles d'accès proportionnés, l'absence de gestion des identités et des actifs, ou la négligence dans la sécurité RH sont explicitement visés par l'article 21.

Responsabilité personnelle des dirigeants

L'article 20 NIS2 engage la responsabilité directe des organes de direction. En cas de manquement grave ayant conduit à un incident majeur, les membres de la direction peuvent être :

• Suspendus temporairement de leurs fonctions
• Interdits d'exercer des fonctions de direction dans des entités régulées
• Poursuivis pénalement en cas de négligence caractérisée

Sanctions RGPD connexes

Une fuite de données personnelles résultant d'un contrôle d'accès défaillant expose également à des sanctions RGPD (articles 83.4 et 83.5) :

• Jusqu'à 10 millions d'euros ou 2 % du CA mondial pour manquement aux principes de sécurité (art. 32)
• Jusqu'à 20 millions d'euros ou 4 % du CA mondial pour violation des droits des personnes

Conséquences opérationnelles et réputationnelles

Au-delà des amendes :

• Interruption d'activité : près d'une entreprise française sur deux a subi une cyberattaque majeure en 2024, et dans 65 % des cas, l'incident a perturbé l'activité pendant une période significative
• Coûts de remédiation : les violations par insiders malveillants étaient le vecteur d'attaque initial le plus coûteux à 4,99 millions de dollars par violation selon IBM 2024, tandis que le coût annualisé moyen du risque interne est passé de 15,4 millions de dollars en 2022 à 17,4 millions de dollars selon Ponemon 2025
• Perte de confiance client et partenaires : les violations répétées ou insuffisamment maîtrisées entraînent une perte de marchés, particulièrement dans les secteurs régulés
• Prime d'assurance cyber : les assureurs exigent désormais la preuve de contrôles IAM/PAM effectifs avant souscription ou renouvellement

Exposition réglementaire sectorielle

Certaines entités NIS2 cumulent d'autres obligations :

• Secteur santé : HDS (Hébergement de Données de Santé) impose des exigences strictes de traçabilité, habilitation nominative, formation
• Secteur bancaire : DORA (Digital Operational Resilience Act) renforce les exigences de gestion des accès tiers et de tests de résilience
• Opérateurs énergie : directive SRI (Sécurité des Réseaux et de l'Information) et règlements sectoriels nationaux (arrêtés LPM, règlement CSIRT Énergie)

---

Pour aller plus loin :

• Mesure n° 1 : Analyse de risques et politique de sécurité SI
• Mesure n° 2 : Gestion des incidents de sécurité
• Mesure n° 4 : Sécurité de la chaîne d'approvisionnement
• Mesure n° 10 : MFA, communications et infrastructures d'urgence sécurisées
• Prestataires PASSI qualifiés ANSSI
• MonEspaceNIS2 — portail officiel de l'ANSSI
• Directive NIS2 (texte officiel)