Formation Numérique · Module 3 · Guide pratique
MFA, comptes individuels, procédure de révocation

MFA, comptes partagés, départs — comment maîtriser les accès?

La gestion des accès est l'une des mesures cybersécurité les plus efficaces et les moins coûteuses. Bien appliquée, elle réduit massivement la surface d'exposition. Mal gérée, elle laisse des portes ouvertes par d'anciens employés.

Analyser mon infrastructure numérique Planifier l'accompagnement →

L'article 10 de la Loi 25 exige des « mesures de sécurité raisonnables ». La CAI a précisé en 2026 que ces mesures incluent identifiants robustes, limitation des accès, registres d'accès, MFA. ISO 27001 (A.5.15 à A.8.5) et CIS Controls v8 IG1 (#5 et #6) en font un prérequis. La majorité des incidents documentés impliquent un compte compromis ou non révoqué — c'est la zone la plus rentable à corriger.

Applicable à tout environnement. Les principes (moindre privilège, MFA, révocation) sont indépendants du système — Microsoft, Google, Apple, sur site, cloud.

Définition

La gestion des accès est l'ensemble des pratiques qui contrôlent qui accède à quoi, quand, avec quelle preuve d'identité. Elle repose sur trois piliers : moindre privilège (donner que le nécessaire), authentification forte (MFA), cycle de vie complet (octroi → révision → révocation).

MFA — la hiérarchie de robustesse (NIST SP 800-63B)

Tous les MFA ne sont pas équivalents. Voici l'ordre de préférence selon le NIST :

  • FIDO2 / WebAuthn / Passkeys — résistant au phishing, gold standard 2025-2026 (CISA, NIST AAL3)
  • Clé physique (YubiKey, Titan) — très élevée, recommandée pour comptes admin
  • Application TOTP (Authy, Aegis, Microsoft Authenticator) — élevée, standard PME
  • Push notifications — moyenne, acceptable avec number matching
  • SMS / appeldéconseillé par le NIST (SIM swap, SS7, interception)
  • Courriel comme 2e facteur — très faible, circularité, à éviter

NIST 800-63-4 (en révision) pousse FIDO2 comme référence pour les workflows à haut risque.

Gestionnaires de mots de passe — les options pour PME

  • Bitwarden — open source, AES-256, SOC 2 Type II + ISO 27001, ~4 USD/utilisateur/mois, option auto-hébergement Canada
  • 1Password — commercial, AES-256 + Secret Key 128-bit, ergonomique, data residency Canada en option
  • KeePass / KeePassXC — open source local, sans synchro native, exigeant à opérer en équipe

Procédure de révocation lors d'un départ — modèle PME

Avant le dernier jour :

  • Lister tous les accès de la personne (issu de l'inventaire — module 1)
  • Préparer transfert de propriétés (fichiers, documents, comptes partagés)

Jour J — idéalement à l'heure exacte de cessation :

  1. Désactiver le compte principal (M365/Google Workspace) — bloque la majorité des SaaS fédérés via SSO
  2. Révoquer MFA et sessions actives en cours (force sign-out)
  3. Révoquer les accès SaaS non fédérés un par un (l'inventaire paie ici)
  4. Récupérer les appareils d'entreprise + désinscription MDM
  5. Effacer les données pro sur BYOD si politique applicable
  6. Changer les mots de passe partagés que la personne connaissait
  7. Transférer les accès admin (réseaux sociaux, Stripe, hébergeur) à une nouvelle personne
  8. Documenter au registre des accès (date, motif, accès révoqués, vérifications)

J+30 à J+90 : suppression complète du compte après période de transfert + vérification qu'aucune session orpheline ne subsiste.

Ce que ça veut dire concrètement

  • Sans MFA généralisé, un mot de passe compromis ouvre l'accès complet à un employé.
  • Sans procédure de révocation, un ancien employé garde des accès actifs des semaines après son départ.
  • Sans gestionnaire de mots de passe, les employés réutilisent les mêmes mots de passe — credential stuffing en cas de fuite externe.

Ce que ça signifie concrètement pour un dirigeant

  • Un compte d'ancien employé encore actif est une porte juridique ouverte — vous êtes responsable de la fuite qui pourrait en résulter.
  • Le SMS comme MFA est désormais déconseillé par le NIST — choisir TOTP au minimum, FIDO2 idéalement pour les comptes admin.
  • Les comptes partagés rendent impossible la traçabilité exigée par la CAI en cas d'enquête.

Un compte d'employé non révoqué est une porte qu'on a oublié de fermer.

🎯 Diagnostic rapide

  • Le MFA est-il activé pour tous les utilisateurs (pas seulement les admins) sur courriel + cloud + outils contenant des RP?
  • Avez-vous une procédure écrite de révocation des accès, appliquée le jour même du départ?
  • Tous vos employés utilisent-ils un gestionnaire de mots de passe pour ne pas réutiliser le même mot de passe partout?

Si non à une seule, vos accès ne sont pas conformes aux standards CAI/ISO/CIS.

Quatre erreurs fréquentes

  • « MFA juste pour les admins. » Faux. CIS Controls IG1 6.3 exige MFA pour toutes les applications externes, tous les utilisateurs.
  • « SMS, c'est suffisant comme MFA. » Faux. Le NIST déconseille SMS depuis SP 800-63-3 — vulnérable au SIM swap.
  • « On désactive les comptes quand on a le temps. » Faux. ISO 27001 A.6.5 et CIS 6.2 exigent une procédure formelle, immédiate.
  • « Comptes partagés pour simplifier. » Faux. Impossible de tracer qui a fait quoi — non-conformité Loi 25 (registre d'accès).

Un compte d'ancien employé non révoqué est une porte qu'on a oublié de fermer.

Sans gestion / Avec gestion

✗ Sans gestion

  • MFA partiel, comptes admin seulement
  • Comptes partagés actifs
  • Anciens employés encore actifs
  • Mots de passe réutilisés
  • Aucun registre d'accès

✓ Avec gestion

  • MFA généralisé (TOTP/FIDO2)
  • Comptes individuels exclusivement
  • Procédure de révocation appliquée jour J
  • Gestionnaire de mots de passe déployé
  • Registre des accès tenu

Ce que la Loi 25 et les standards impliquent

  • Loi 25 art. 10 — mesures de sécurité raisonnables (CAI précise : identifiants robustes, MFA, limitation, registres)
  • ISO 27001:2022 — A.5.15 (Access control policy), A.5.16 (Identity), A.5.17 (Authentication), A.5.18 (Access rights), A.6.5 (Termination), A.8.2 (Privileged), A.8.5 (Secure auth)
  • CIS Controls v8 IG1 — #5 Account Management + #6 Access Control Management (cycle de vie complet)

Concrètement pour une PME :

  • Chaque compte sans MFA est une vulnérabilité directe
  • Chaque ancien employé non révoqué est une porte ouverte
  • Chaque compte partagé brise la traçabilité

Le coût vient de l'absence de discipline — pas du déploiement du MFA.

En résumé

  • MFA généralisé (TOTP au minimum, FIDO2 pour admins)
  • Gestionnaire de mots de passe pour tous les employés
  • Procédure de révocation documentée, appliquée jour J
  • Comptes individuels — pas de partage

Pour aller plus loin

Voir les exigences légales et standards →

Test rapide — vos accès sont-ils maîtrisés?

Analyser mon infrastructure numérique →

Sécuriser vos accès

Analyser mon infrastructure numérique Planifier l'accompagnement

← Retour au plan de la formation Numérique