Un seuil d'inactivité de deux heures ne satisfait aucun framework de sécurité reconnu. CIS Control 4.3 plafonne les sessions OS générales à 15 minutes et les appareils mobiles à 2 minutes. PCI DSS 8.1.8, NIST SP 800-53 AC-11 et HIPAA § 164.312(a)(2)(iii) convergent vers le même principe : un poste de travail sans surveillance doit se verrouiller assez vite pour empêcher tout accès opportuniste, jamais après des heures d'inactivité.
Les délais courts ont traditionnellement été en conflit avec la productivité des utilisateurs. Les opérateurs contournent le verrou, partagent des mots de passe ou désactivent entièrement l'écran de veille. Ce compromis ne tient plus. L'authentification par proximité et les clés matérielles FIDO2 permettent désormais des paramètres d'inactivité agressifs sans friction : le poste se verrouille dès que l'utilisateur s'éloigne et se réauthentifie à son retour.
Les sections ci-dessous résolvent la contradiction qui circule en ligne, associent chaque exigence de conformité à une valeur de délai précise et détaillent comment configurer le verrouillage automatique de session sous Windows, macOS, Linux et sur les sessions distantes.
Ce qu'est vraiment un verrouillage automatique de session (et pourquoi « 2 heures » est faux)
Définition et mécanismes : verrouillage de session vs déconnexion automatique vs résiliation de session
Un verrouillage automatique de session suspend une session active après une période d'inactivité définie et exige une réauthentification (mot de passe, PIN, biométrie, carte à puce) avant de reprendre. La session elle-même reste active en mémoire : les processus en cours, les fichiers ouverts et les connexions réseau persistent derrière un écran verrouillé, souvent associé à un affichage occultant ou un écran de veille. La déconnexion automatique met fin à la session utilisateur et ferme les applications. La résiliation de session va encore plus loin en rompant le contexte authentifié sous-jacent auprès du fournisseur d'identité. Chaque contrôle répond à un risque distinct : accès physique opportuniste, identifiants persistants ou jetons obsolètes.
Le verdict sur l'affirmation « 2 heures » — ce que les sources faisant autorité disent vraiment
Faux. Aucun framework reconnu n'approuve un maximum de 120 minutes. CIS Control 4.3 plafonne le temps d'inactivité à 15 minutes pour les postes de travail et à 2 minutes pour les appareils mobiles ; PCI DSS 8.2.8 et NIST AC-11 s'alignent sur ce même plafond.
Matrice de conformité des frameworks : délais requis par standard
Comparaison côte à côte : CIS 15 min, CJIS 30 min, PCI DSS 15 min, NIST AC-11, HIPAA §164.312(a)(2)(iii), ISO/IEC 27002
Les auditeurs acceptent rarement « la pratique du secteur » comme preuve. Ils attendent une clause spécifique associée à un délai configuré. La matrice ci-dessous consolide ce que chaque standard exige.
| Framework | Clause | Délai d'inactivité max. | Périmètre |
|---|---|---|---|
| CIS Controls v8.1 | Safeguard 4.3 | 15 min (OS) / 2 min (mobile) | Actifs d'entreprise |
| NIST SP 800-53 | AC-11 | Défini par l'organisation, ≤15 min typique | Systèmes fédéraux |
| NIST SP 800-171 | 3.1.10 | Affichage occultant requis | Environnements CUI |
| PCI DSS v4.0 | 8.2.8 | 15 min | Données des titulaires de carte |
| HIPAA Security Rule | §164.312(a)(2)(iii) | Raisonnable, adressable | Postes de travail ePHI |
| CJIS Security Policy | 5.5.5 | 30 min | Informations de justice pénale |
| ISO/IEC 27002:2022 | 8.1 | Défini par la politique | Tous les endpoints |
Affichages occultants, réauthentification et exigences de preuves d'audit
Trois sous-contrôles déterminent si une implémentation passe l'audit. Le verrou doit masquer le contenu précédent de l'écran (NIST AC-11(1)), exiger une réauthentification basée sur les identifiants plutôt qu'un simple geste de fermeture, et produire des entrées de journal prouvant l'application sur l'ensemble du parc d'appareils.
Configurer le verrouillage automatique de session sur toutes les plateformes
Windows GPO et registre, profils MDM macOS et Linux (GNOME/KDE/TMOUT)
Sous Windows, appliquez la politique via Computer Configuration → Policies → Administrative Templates → Control Panel → Personalization → Enable screen saver combiné avec Password protect the screen saver et Screen saver timeout défini à 900 secondes. Le chemin de registre équivalent est HKLM\Software\Policies\Windows\Control Panel\Desktop. Pour macOS, déployez un profil de configuration avec les clés askForPassword et askForPasswordDelay via MDM. Sous Linux, GNOME expose org.gnome.desktop.session idle-delay, KDE utilise kscreenlockerrc, et les sessions shell doivent définir TMOUT=900 dans /etc/profile.d/.
RDP, VDI, SSH et verrouillages au niveau applicatif (EHR, ERP, consoles d'administration)
Les sessions distantes nécessitent leurs propres contrôles. Configurez fSessionTimeoutIdleLimit pour RDP, définissez ClientAliveInterval dans sshd_config et définissez les politiques d'inactivité dans Citrix ou VMware Horizon. L'application au niveau applicatif est tout aussi importante : Epic, SAP et la console AWS exposent tous des paramètres de réauthentification en cas d'inactivité, qui fonctionnent indépendamment du verrou OS.
Éliminer le compromis usabilité-sécurité grâce à la proximité et à FIDO2
Les délais agressifs échouent quand les utilisateurs les combattent. Des post-it apparaissent, des mouse jigglers se répandent et les verrous sont désactivés au support. L'authentification par proximité brise ce schéma.
Clés matérielles, FIDO2 et verrouillage automatique par proximité au départ, déverrouillage automatique au retour
Une clé matérielle FIDO2 couplée au Bluetooth avec verrouillage automatique au départ et déverrouillage automatique au retour permet d'appliquer un verrou d'inactivité de 2 minutes sans la moindre plainte. Le poste de travail se verrouille dès que l'utilisateur s'éloigne et se déverrouille automatiquement à son retour, la réauthentification cryptographique étant assurée par la clé. Aucune ressaisie de mot de passe, aucune friction liée à l'écran de veille, aucun compromis sur le seuil d'inactivité.
Verrouillage de session dans une architecture Zero Trust
Zero Trust exige une vérification continue, pas une simple connexion unique. Le verrouillage de session opérationnalise le pilier Verify Explicitly en imposant une réauthentification liée au contexte : posture de l'appareil, localisation, heure de la journée. Combiné avec l'accès conditionnel, chaque déverrouillage devient une nouvelle décision de confiance plutôt qu'un droit hérité.
Pièges d'audit, télétravail et liste de contrôle d'implémentation
Principales raisons pour lesquelles les organisations échouent aux audits de verrouillage de session — et délais par rôle pour les configurations distantes, hybrides et postes partagés
Les auditeurs signalent régulièrement les mêmes lacunes : GPO limités au mauvais OU, comptes de service laissés interactifs, affichages occultants manquants requis par NIST AC-11(1), utilisateurs désactivant les verrous d'écran de veille localement, et sessions applicatives persistant derrière un OS verrouillé. Les configurations distantes et hybrides amplifient le risque. Calibrez les délais par rôle : 2 minutes pour les terminaux partagés en clinique, 5 minutes pour les bureaux à domicile et les laptops BYOD, 10 minutes pour les agents de centre d'appels, 15 minutes pour les endpoints de bureau standard.
Liste de contrôle d'implémentation et éléments essentiels du modèle de politique
Une politique déployable couvre sept points : inventaire des actifs, classification des risques, application GPO et MDM, réauthentification au niveau applicatif, journalisation d'audit des événements de verrouillage, révision annuelle et gouvernance des exceptions. Associez-la à un déverrouillage par proximité pour maintenir des seuils agressifs praticables — réservez une démo pour un parcours de déploiement personnalisé.
Foire aux questions
Un verrouillage automatique de session doit-il survenir après un maximum de deux heures d'inactivité ?
Non. Un seuil de 120 minutes contredit chaque standard reconnu. CIS Control 4.3 plafonne les sessions OS générales à 15 minutes d'inactivité et les appareils mobiles à 2 minutes. PCI DSS 8.2.8 et NIST AC-11 s'alignent sur le même plafond de 15 minutes.
Quels frameworks de conformité exigent explicitement un verrouillage automatique de session ?
Six frameworks font directement référence à ce contrôle : NIST SP 800-53 AC-11, NIST SP 800-171 §3.1.10, CIS Critical Security Controls v8.1, PCI DSS Requirement 8.2.8, HIPAA §164.312(a)(2)(iii) et ISO/IEC 27002. Le CJIS ajoute un maximum de 30 minutes pour les systèmes de justice pénale.
Le verrouillage de session par mot de passe ou par proximité est-il plus sécurisé ?
Le verrouillage par proximité surpasse les méthodes uniquement par mot de passe. Il supprime la friction pour l'utilisateur, élimine les oublis de verrouillage manuel et applique automatiquement des délais agressifs. Combiné à l'authentification matérielle FIDO2, il comble l'écart entre la politique et le comportement réel des utilisateurs — la lacune d'audit la plus fréquente sur les contrôles de verrouillage de session.
