Cadence trimestrielle pour les access reviews : planification et rythme

Quatre reviews par an, ça semble beaucoup. En pratique, cela prend 3 à 4 heures par trimestre avec une bonne organisation. Voici la cadence qui fonctionne pour une PME de 40 personnes.

Une cadence trimestrielle est le rythme naturel pour les access reviews dans une PME jusqu'à ±100 collaborateurs. Moins fréquent n'est pas conforme ISO, plus fréquent représente un travail inutile.

Le cycle de 3 semaines par trimestre

• Semaine 1 : snapshot + périmètre (30 min). Souvent le premier jour ouvrable du trimestre.
• Semaine 2 : les managers décident pour leurs équipes (30 min par manager).
• Semaine 3 : l'IT exécute les révocations/modifications. Le rapport est signé et archivé.

Calendrier annuel

• Review Q1 : 2e semaine de janvier, rapport fin janvier.
• Q2 : 2e semaine d'avril.
• Q3 : 2e semaine de juillet.
• Q4 : 2e semaine d'octobre — également en entrée pour la revue de direction.

Qui assure la coordination ?

Une seule personne est « review-owner ». Souvent le responsable sécurité ou le responsable des opérations. Pas le CEO — cela ne passe pas à l'échelle.

Escalade

Si un manager ne répond pas dans les 5 jours ouvrables : escalade à la direction. La constance ici est plus importante que le contenu — si les managers constatent que les délais ne sont pas pris au sérieux, tout le processus prend du retard.

Voir aussi : pilier review, impliquer les managers.