Révision du rôle Global Admin : la catégorie la plus sensible

S'il existe une catégorie où la rigueur de révision est absolument cruciale, c'est bien celle du Global Admin et des rôles équivalents. Voici la procédure spécifique qui s'ajoute à la révision standard.

Global Admin, AWS root, Salesforce system admin, GitHub org owner — ces rôles font l'objet d'un traitement à part lors de chaque révision. Pas de traitement en masse, pas d'échantillonnage : une visibilité totale.

Que vérifier pour chaque Global Admin ?

• La personne est-elle toujours en poste ?
• Le rôle a-t-il été réellement utilisé au cours du dernier trimestre ? (vérification des journaux)
• Le compte respecte-t-il la politique PAM — compte admin dédié, MFA matériel, non utilisé pour le travail quotidien ?
• Existe-t-il une personne de secours pouvant reprendre le même accès ? (au moins 2, pas 1)
• Le mot de passe a-t-il été renouvelé depuis l'attribution du rôle ?

Que faire si le rôle n'a pas été utilisé depuis 90 jours ?

Signal d'alarme. Soit la personne n'en a pas besoin — révoquer l'accès. Soit elle effectue des tâches d'administration en douce via son compte utilisateur standard (violation de politique). Dans tous les cas : une discussion s'impose.

Le just-in-time comme réponse mature

Dans Entra ID, il est possible d'utiliser PIM : les droits Global Admin ne sont pas permanents — la personne les active pour 8 heures maximum avec l'approbation d'un collègue. Chaque activation est tracée. Consultez la gouvernance M365 pour la mise en place.

Reporting

Une section distincte dans le rapport de révision — « Privileged Access Review » — signée par la direction. Même en l'absence de modifications.

Voir aussi : article PAM, pilier révision des accès.