– Les établissements assujettis adoptent et mettent en œuvre des mesures de gestion des droits d’accès aux différents environnements matériels, réseaux et logiciels. Ces mesures couvrent le cycle de vie des droits, à savoir l’attribution, la vérification et le retrait. Les droits sont mis à jour lors des mouvements de personnels tels que l’entrée en fonction, le changement de,fonction ou l’arrêt des fonctions.
Les établissements assujettis veillent à n’accorder des droits qu’aux utilisateurs strictement requis pour exécuter leurs fonctions (principe du moindre privilège), afin de prévenir tout accès non justifié à un large ensemble de données ou les combinaisons de droits pouvant servir à contourner les contrôles (principe de séparation des fonctions). Ils limitent les comptes d’administrateurs disposant de hauts privilèges.
Afin de pouvoir identifier le mieux possible les utilisateurs intervenant sur le système d’information, les établissements assujettis limitent l’attribution de comptes génériques à ce qui est indispensable pour l’administration du système. Les comptes à hauts privilèges et les comptes génériques font l’objet d’une surveillance renforcée
