A.5.15Contrôle d'accès
En 1 phrase : Qui peut accéder à quoi, et qui décide d'accorder ou de retirer cet accès.
Pourquoi ce contrôle est critique
80 % des incidents de sécurité dans les PME proviennent d'un compte mal géré : ancien employé toujours actif, prestataire avec accès admin oublié, mot de passe partagé en clair, droits accordés une fois et jamais retirés.
ISO 27001 ne vous demande pas d'avoir l'outil parfait. Elle vous demande d'avoir une politique écrite, une matrice à jour, et une revue régulière. Si ces 3 éléments existent et sont prouvables, vous passez l'audit.
Applicable à vous ?
Réponse rapide : oui dans 99 % des cas. Pour exclure légitimement, il faut être au moins dans l'un de ces cas extrêmes :
Si vous cochez au moins une case "O", A.5.15 est applicable.
Comment l'implémenter : 3 niveaux
ISO ne vous impose pas un niveau particulier. À vous de choisir selon votre taille, votre maturité, et les exigences de vos clients. Voici les 3 niveaux que les auditeurs reconnaissent :
- Politique d'accès rédigée : 1 page A4
- Matrice utilisateur × système × droits : Excel ou Notion
- Revue trimestrielle (1 réunion 30 min, PV signé)
- Procédure départ collaborateur : checklist 5 lignes
- Politique d'accès + procédure de gestion (RACI)
- Matrice maintenue dans un IAM léger ou GitHub-as-IAM
- Revue mensuelle automatisée (script + alerte)
- Onboarding/Offboarding orchestré (Workflow)
- Comptes admin séparés des comptes utilisateur
- IGA dédié type SailPoint, Saviynt ou Okta Identity Governance
- Recertification trimestrielle automatisée par owner
- Just-in-Time access pour comptes privilégiés
- SoD (Separation of Duties) appliqué aux rôles critiques
- Intégration SIEM des événements d'accès
Phrases exactes pour votre SOA
Copier-coller, adapter à votre contexte, signer. L'auditeur attend ce niveau de précision.
Identifié par l'analyse de risques (atelier 5 EBIOS RM, scénarios "compromission compte privilégié" et "départ collaborateur"). Exigence contractuelle client ACME (mars 2026).
Politique d'accès PSSI-12 + matrice RACI maintenue dans Microsoft Entra ID. Revue mensuelle automatisée. Procédure onboarding/offboarding documentée et exécutée 14 fois en 2026.
PSSI-12 v2.3 + capture Entra ID 2026-04-15 + PV revue trimestrielle Q1 2026
L'organisation est constituée d'un seul collaborateur (gérant) sans sous-traitant ni prestataire ayant accès aux systèmes d'information. Aucun compte tiers à gérer. Compensé par le contrôle A.8.5 (authentification sécurisée du gérant).
À l'embauche du premier collaborateur ou à la signature du premier contrat de prestation accordant un accès SI.
Statuts de l'entreprise + déclaration CFE confirmant l'absence de salariés et de sous-traitants au moment de la SOA.
Mettre en place A.5.15 : 3 chemins concrets
- 1/dashboard/conformite/iso27001
- 2Filtrer par "Organisationnel"
- 3Cliquer A.5.15 → Implémenté
- 4Uploader politique + matrice
- 5Lier preuves (3 clics)
- 1Créer un fichier "Politique-Acces.docx"
- 2Créer une matrice Excel 7 colonnes
- 3Créer un planning de revue trimestrielle
- 4Stocker dans un dossier partagé
- 5Maintenir manuellement à chaque mouvement
- 1Brief de 2 h avec le consultant
- 2Le consultant rédige la politique
- 3Le consultant configure la matrice
- 4Le consultant forme votre équipe IT
- 5Mise à jour = re-facturation
Contrôles liés à A.5.15
Si A.5.15 vous concerne, ces contrôles aussi :
Création / désactivation des comptes
Mots de passe, MFA, tokens
Revue régulière des privilèges
Comptes admin séparés
MFA, complexité mot de passe
Procédure offboarding