Entreprise manufacturière mondiale : défis du contrôle d'accès

  • Last update on November 12th, 2025

Table of Contents

Un fabricant mondial opérant dans des secteurs sensibles et à forte valeur ajoutée devait de toute urgence empêcher l’accès non autorisé à la documentation R&D propriétaire et réduire les risques liés aux autorisations excessives. 
Confrontée à des appartenances de groupes non gérées et à des comptes invités inactifs, l’entreprise a utilisé le module Access Review de CoreView pour automatiser, cibler et documenter la gouvernance des accès. Ce projet a permis non seulement de corriger des risques de sécurité majeurs, comme les licences d’applications externes coûteuses et les données confidentielles sur SharePoint, mais aussi de réduire les charges d’audit de 65 % et de garantir l’absence de constatations critiques lors du prochain cycle de conformité.

Profil client

Secteur d’activité Fabrication
Taille de l’entreprise 18.000
Région Amérique du Nord, Europe & Asie


Description de l’entreprise

Cette entreprise multinationale de fabrication exploite des sites de production, des centres R&D et des bureaux administratifs en Amérique du Nord, en Europe et en Asie. Gérant plus de 18.000 comptes utilisateurs Microsoft 365 pour les ingénieurs, les opérateurs d’usines, les fournisseurs et les partenaires, l’organisation dépend d’une sécurité des données robuste pour protéger les conceptions propriétaires et les opérations de la chaîne d’approvisionnement. Avec des exigences strictes en matière de conformité sectorielle et une collaboration mondiale, la nécessité d’un contrôle d’accès centralisé et précis était essentielle.

Problématique métier

En 2025, une enquête interne a identifié un risque métier critique : un groupe Microsoft 365, initialement créé pour gérer l’accès à une application de conception de produit propriétaire, avait explosé pour inclure des dizaines d’utilisateurs n’étant plus impliqués dans le projet. Chaque utilisateur supplémentaire augmentait les coûts mensuels de logiciels de l’entreprise et risquait de divulguer des données confidentielles si l’application était mal utilisée. En même temps, le nombre élevé de groupes Microsoft 365, souvent avec une propriété floue et des comptes invités dormants, créait un imbroglio d’exposition potentielle, de risque de conformité, et de tickets d’assistance en hausse.

Points de douleur :

  • L’appartenance non contrôlée aux groupes a augmenté les coûts en licenciant des utilisateurs inactifs et non autorisés sur des applications tierces premium.
  • Les comptes fournisseurs et partenaires dormants risquaient de divulguer des documents confidentiels depuis SharePoint et Teams.
  • Les audits d’accès manuels n’ont pas permis de détecter de façon fiable les mauvaises configurations et ont manqué les échéances de remédiation.
  • L’affectation incohérente des propriétaires de groupes impliquait une absence de responsabilité claire sur l’intégrité des accès.
  • Les auditeurs ont cité des autorisations excessives et le manque de documentation des revues comme un problème de conformité.

Produits CoreView impliqués

  • Access Review : Access Review de CoreView automatise la vérification périodique des accès des utilisateurs et invités sur les groupes Microsoft 365 – y compris Teams, les groupes de distribution et de sécurité, les sites SharePoint et les permissions de boîtes aux lettres. Le module s’appuie sur des modèles personnalisables et l’automatisation des flux de travail, garantissant que les membres, les propriétaires et les utilisateurs externes sont audités selon la politique, avec des affectations claires des réviseurs et des journaux d’audit téléchargeables pour la conformité et les rapports.

Guide étape par étape de la solution

Ce chapitre vous guide dans la création et la planification d’une automatisation Access Review similaire sur le portail CoreView
En suivant ces étapes, vous établirez de façon sécurisée les paramètres de revue, sélectionnerez les ressources et réviseurs appropriés, puis configurerez les plannings et notifications pour répondre aux besoins de conformité et gestion des risques de votre organisation.

Étape 1 : accéder au portail CoreView

Connectez-vous au portail web CoreView en utilisant les identifiants de votre organisation.

Étape 2 : naviguer vers Revues > Access Review

Depuis le menu de navigation à gauche, sélectionnez « Revues > Access Review ». Cette section permet de créer des revues.

Étape 3 : détails généraux

Cliquez sur le bouton « Créer votre première revue » ou « Créer une revue depuis un modèle » et choisissez le modèle de revue « Microsoft 365 group members ».

Dans notre scénario, le client souhaitait revoir tous ses groupes, nous nous concentrons donc sur « Microsoft 365 group members ».

Une fois sélectionné, il vous est demandé de fournir un « Titre » approprié et, si vous le souhaitez, de compléter les champs suivants : « Description », « Pourquoi est-ce important », « Tags » et « Priorité ».

Astuce

Nous suggérons de remplir les champs « Description » et « Pourquoi est-ce important » pour les futures revues et la compréhension. 
Vous pouvez également affecter des tags pour organiser les revues par département, projet ou autre classification requise pour le rapport ou la conformité. 
Définissez la « Priorité » (« Haute », « Moyenne » ou « Basse ») selon la classification du risque ou la politique de revue de votre organisation. La priorité sera visible sur le tableau de bord principal pour les réviseurs et les Tenant Admins. 

 

Dans notre scénario, le client souhaitait étiqueter les revues « Groups Audit » à des fins de reporting. Cette revue était importante et urgente, elle a donc été classée en haute priorité.

Une fois terminé, cliquez sur « Suivant » pour passer à la section suivante.

Étape 4 : définition de la revue

Sous « Sélection des groupes », choisissez entre « Sélection manuelle » ou « Sélection dynamique ». 

Sélection manuelle

  • Utilisez « Sélection manuelle » lorsque vous souhaitez sélectionner explicitement les ressources incluses dans une Access Review ponctuelle.
  • Les ressources choisies dans la configuration initiale restent fixes pour cette instance de revue.

Sélection dynamique

  • Utilisez « Sélection dynamique » pour les Access Reviews périodiques (programmées et récurrentes) où toutes les ressources disponibles sont incluses. Avec cette option, la liste de ressources est déterminée dynamiquement à chaque cycle de revue.
  • Les ressources ajoutées à l’environnement après la création initiale seront prises en compte lors du prochain cycle de revue programmé si elles répondent aux exigences du filtre.

Dans le scénario du client, nous avons créé une sélection dynamique car il souhaitait que les revues soient réalisées en urgence (éviter la sélection manuelle) et revues mensuellement.

Sous « Réviseurs et remplaçants », choisissez entre « Propriétaires du groupe », « Réviseur attribué » ou « Tenant admin » :

Astuce

Dans les groupes avec plusieurs propriétaires ou réviseurs, un seul opérateur doit compléter la revue pour qu’elle soit considérée comme terminée.

 

Attribuer des réviseurs remplaçants est recommandé pour garantir l’avancement de la tâche de revue en cas d’indisponibilité du réviseur principal. Par défaut, le champ du réviseur remplaçant contient l’adresse e-mail du Tenant Admin ayant créé la revue. 
Pour changer le réviseur remplaçant, il suffit de mettre à jour l’adresse e-mail dans ce champ. Vous pouvez désigner tout opérateur ayant accès à votre environnement Microsoft comme remplaçant, qu’il soit opérateur CoreView ou non.

Dans « Périmètre » (activable uniquement en « Sélection dynamique »), vous pouvez activer le bouton « Périmètre ». Cela applique la revue uniquement aux ressources incluses dans un Tenant virtuel spécifique à la date de chaque revue. 

Le bouton « Périmètre » est désactivé lorsqu’aucun Tenant virtuel n’est disponible.

Dans notre scénario, le client souhaitait que les propriétaires de groupe effectuent la revue, avec un réviseur remplaçant désigné pour faire la revue en cas d’absence de propriétaire.

Étape 5 : planification

Cette section détaille quand la revue doit être réalisée, la revue périodique, les rappels par e-mail et les paramètres du modèle d’e-mail.
Sélectionnez le nombre de jours dans lequel la revue doit être finalisée et la date de début. Notez que la date de début de la revue ne peut pas être le jour même de la création ; la première date disponible est le lendemain.

Si vous souhaitez que la revue soit récurrente, activez « Revue périodique » et choisissez le nombre de jours après lesquels le processus redémarrera, ainsi qu’une date de fin optionnelle.

Dans la section « Rappel », spécifiez combien de jours avant la date limite les réviseurs recevront une notification par e-mail. Pour les revues périodiques, un e-mail de rappel est envoyé le nombre de jours défini avant la date limite de chaque cycle.

Étape 6 : revoir et finaliser

Dans cette section, vous trouverez un résumé des informations Access Review configurées précédemment. Sélectionnez « Soumettre » pour confirmer la configuration et créer la revue d’accès.

Étape 7 : suivi des Access Reviews

À la fin de l’activité, vous verrez l’Access Review créée dans le panneau Access Review.

Ici, le Tenant Admin dispose de différentes options pour surveiller et superviser l’Access Review créée. 

  • « État d’avancement » chargera l’access review et donnera au Tenant Admin des détails sur la progression actuelle :
  • « Envoyer un rappel » ouvrira un nouvel écran pour envoyer un rappel à tous les réviseurs qui n’ont pas encore complété la revue :
  • « Télécharger les logs » téléchargera un fichier CSV du rapport d’audit terminé.
  • « Historique de la revue » affichera les cycles de revue précédents et leur statut (terminé ou non terminé) avec les dates limites correspondantes.
  • « Supprimer la revue » supprimera définitivement l’Access Review.

Étape 8 : réviseurs attribués

Les réviseurs attribués recevront une invitation par e-mail pour accéder et terminer la tâche de revue.

En cliquant sur « Tâches de revue », il se passera l’une des situations suivantes :

  • Si vous êtes opérateur CoreView : connectez-vous avec vos identifiants standards.
  • Si vous n’avez pas de compte CoreView : CoreView crée automatiquement un compte via vos identifiants Microsoft 365. Ce compte donne un accès limité, restreint aux revues qui vous sont assignées. 

Vous serez redirigé vers le tableau de bord Access Review, qui variera selon le nombre de tâches de revue à accomplir.

Le réviseur doit cliquer sur « Démarrer la revue ». Si plusieurs réviseurs sont présents, certaines tâches peuvent être verrouillées pour éviter les modifications simultanées. Les revues verrouillées sont identifiées par un bouton « Démarrer la revue » grisé.

Pendant une revue d’accès, vous êtes tenu de confirmer ou révoquer l’accès pour les comptes utilisateurs inclus dans la revue. Pour chaque entrée vous pouvez :

  • Retirer l’accès : cochez la case « Supprimer » pour l’utilisateur.
  • Donner la propriété du groupe (si disponible) : cochez la case « SetAsOwner » pour l’utilisateur concerné. Cela met à jour son rôle dans Microsoft 365.

Astuce

  • Si un utilisateur est défini comme propriétaire de groupe, l’option de suppression de cette entrée est désactivée pendant la même session pour éviter les conflits de rôle. Une fois la revue terminée, cliquez sur « Suivant » pour vérifier et soumettre ou « Enregistrer comme brouillon » pour reprendre avant la date limite.
  • Si vous avez soumis la revue vous ne pourrez pas la reprendre.
 

CoreView procédera alors à toute remédiation choisie lors de la revue. Dans ce cas, deux propriétaires ont été définis et un utilisateur a été supprimé du groupe.

Une fois la revue terminée pour ce groupe Microsoft 365, le bouton « Télécharger les logs » est désormais disponible.

Cela permettra de télécharger un fichier CSV détaillant la revue.

Résultats de la solution

En ciblant d’abord les groupes à coût et risque élevé, l’organisation a identifié plus de 40 membres de projet inactifs affectés à une application d’ingénierie coûteuse, réduisant à la fois les coûts de licences inutiles et l’exposition potentielle des IP.
 

« Avant CoreView, il fallait des semaines pour contacter les propriétaires de groupe et valider manuellement chaque membre. Désormais, les revues sont ciblées, automatisées et totalement vérifiables » 

rapporte le responsable Cyber sécurité et Conformité.

Globalement, le temps d’audit manuel a diminué d’environ 65 %, plus d’une centaine de comptes dormants, invités et prestataires ont été supprimés, et le prochain audit externe n’a révélé aucune constatation critique liée aux contrôles d’accès. Ces progrès ont permis à l’IT de se concentrer sur des initiatives stratégiques plutôt que réactives.

Avantages obtenus

  • Revue centralisée et automatisée des groupes sensibles Microsoft 365, en commençant par ceux liés à des logiciels de grande valeur et des données confidentielles
  • Réduction de 65 % de l’effort d’audit et du temps passé à valider les accès
  • Suppression immédiate de plus de 150 comptes mal configurés et invités dormants des groupes critiques
  • Zéro constatation de conformité pour la gestion des accès lors du prochain audit
  • Économies directes grâce à la suppression des licences d’applications tierces inutilisées
  • Journaux cohérents et téléchargeables pour les audits et la réglementation
  • Collaboration renforcée entre les équipes métiers et IT sur la gouvernance des accès

Ces résultats ont directement réduit le risque IT, l’exposition à la conformité et les charges opérationnelles, tout en apportant un ROI mesurable via des économies sur les logiciels et la préparation aux audits.

Enseignements et bonnes pratiques

  • Prioriser les groupes critiques pour l’entreprise, surtout ceux associés à des licences onéreuses ou du contenu confidentiel pour les premiers cycles d’Access Review
  • Déléguer aux responsables métiers (pas seulement à l’IT) pour garantir des revues précises et pertinentes
  • Programmer des revues dynamiques récurrentes basées sur le périmètre pour maintenir la conformité en continu avec peu d’effort manuel
  • Documenter les conclusions des revues et les remédiations pour répondre aux audits
  • Configurer des affectations solides de réviseurs remplaçants pour éviter les blocages

Ressources supplémentaires 


 


 

 

Related Articles

DID THIS PAGE HELP YOU?