Échantillonnage ou revue d'accès complète : ce qu'accepte l'auditeur
À grande échelle, une revue complète est irréalisable. Un échantillonnage basé sur les risques est acceptable — à condition d'expliquer clairement votre méthode d'échantillonnage.
Pour une PME de 200 personnes avec 40 systèmes, cela représente 8 000 lignes par revue. Ce n'est pas viable. Un échantillonnage basé sur les risques est alors la solution — mais uniquement si vous pouvez le justifier.
Quand faire une revue complète ?
- Moins de 500 entrées au total (environ 15 personnes × 10 systèmes).
- La « grande » revue annuelle — même si les revues trimestrielles sont par échantillon, une fois par an tout doit être passé en revue.
- Après un incident majeur.
Quand opter pour un échantillonnage ?
- Plus de 1 000 entrées.
- Revues trimestrielles dans les organisations de taille importante.
Comment réaliser un échantillonnage basé sur les risques ?
- Prioriser les accès privilégiés. 100 %.
- Utilisateurs inactifs ou récemment activés. 100 %.
- Systèmes à haut risque (comptabilité, RH, données clients). 100 % des lignes d'accès.
- Reste : échantillon de 20 % par rôle, ciblant les changements de rôle du trimestre écoulé et l'ancienneté de la dernière vérification.
Documentation
L'auditeur souhaitera consulter votre stratégie d'échantillonnage — une politique écrite, et non une approche ad hoc variant à chaque revue. Voir la documentation probante.
Voir aussi : le pilier des revues.
Volledige gids: Revisiones de acceso periódicas: proceso, frecuencia y evidencia
Dit artikel is onderdeel van onze uitgebreide Access reviews-gids. Lees de pillar voor het complete plaatje.
Lees de pillar →