Alors que la protection des données sensibles est souvent une des préoccupations principales des DSI, un danger insidieux et moins évident guette les organisations : les comptes fantômes. Bien qu’invisibles à première vue, ces comptes représentent un risque sérieux pour la sécurité du SI et une cible privilégiée pour les cybercriminels. Pourquoi les entreprises doivent-elles les surveiller et s’en protéger activement ? Comment gérer efficacement les comptes utilisateurs pour prévenir leur apparition ?
Sommaire
Qu’est-ce qu’un compte fantôme ?
Comptes fantômes : de véritables bombes à retardement
Qu’est-ce qu’un compte fantôme ?
En entreprise, un compte fantôme se réfère à un compte utilisateur créé dans les systèmes d’information, mais qui ne présente aucune activité ou interaction depuis un certain laps de temps. En général, ces comptes sont ceux d’anciens collaborateurs ayant quitté la structure ou le projet sur lequel ils travaillaient, sans que le compte n’ait été supprimé par la DSI.
En effet, lorsqu’un collaborateur quitte l’entreprise ou termine une mission au sein des projets, ses accès ne sont pas toujours immédiatement révoqués. L’offboarding IT d’un collaborateur comprend de nombreuses étapes cruciales, qui avec un seul loupé, peuvent engendrer un risque de comptes fantômes :
- Collecte d’actifs physiques : le collaborateur devra retourner tous les équipements informatiques et physiques fournis par l’entreprise, tels que les ordinateurs portables, les téléphones, les badges d’accès, les clés USB, etc.
- Désactivation des comptes : les accès de l’employé aux systèmes et aux applications doivent être désactivés en supprimant ses comptes utilisateur. Cela peut inclure les comptes de messagerie électronique, les comptes de réseau, les accès aux applications internes, etc.
- Gestion des droits d’accès : il est indispensable de réviser les droits d’accès aux différentes ressources informatiques pour assurer que l’employé n’a plus accès à des informations sensibles ou confidentielles après son départ.
Plus largement, négliger ces étapes ouvrira des opportunités côté cybermalfaiteurs comme le vol d’identifiants, l’espionnage, le détournement de données ou encore les ransomwares.
La gestion des entrées et sorties constitue un défi majeur pour la sécurité informatique des entreprises. Il est essentiel pour leur sécurité, leur survie financière et leur réputation de comprendre et de maîtriser les risques liés à d’éventuels comptes inactifs, en interne mais aussi dans l’environnement des clients.
Comptes fantômes : de véritables bombes à retardement
Lorsqu’il est mis fin à une collaboration, une bonne gestion des entrées-sorties est indispensable. Sans quoi, les droits d’accès plus ou moins sensibles demeurent accessibles, parfois des mois après l’offboarding d’un collaborateur. Ces comptes fantômes se transforment en portes vers le SI et impactent sérieusement la sécurité de l’entreprise. Ils sont particulièrement sensibles car il est plus difficile de détecter une tentative d’attaque sur ces accès peu surveillés.
Par ailleurs, d’anciens salariés ou collaborateurs extérieurs peuvent très bien continuer d’accéder aux informations de l’entreprise sans être détectés :
- S’ils sont honnêtes, ils préviendront certainement l’entreprise.
- S’ils l’ont quitté en mauvais termes ou sont partis travailler pour la concurrence, ils peuvent chercher à nuire en dérobant par exemple des données sensibles.
- S’ils sont peu sensibilisés aux bonnes pratiques cyber, il est possible que des comptes aient été compromis. Ils deviennent alors des portes ouvertes vers le SI d’une entreprise.
Les comptes inactifs devenus fantômes peuvent perdurer des mois ou années. Selon Harvard Business Review $1$, ce type de fraude ferait perdre environ 5 % du CA des entreprises chaque année. Par ailleurs, d’après une étude Data Security Breach $2$ réalisée en 2019 auprès d’un millier d’employés britanniques, il apparaît que 21 % des collaborateurs ayant mis fin à leurs fonctions avaient conservé leurs identifiants de connexion. Ils pouvaient continuer d’accéder au serveur interne, à la base de données RH et/ou aux résultats financiers de l’entreprise.
Un employé sur cinq (21 %) quitte ses fonctions en conservant ses identifiants de connexion à au moins un accès sensible de l’entreprise : serveurs internes, bases de données RH ou résultats financiers
Data Security Breach – 2019
Les hackers, eux aussi, comptent bien sur le laisser-aller de la gestion des accès (et particulièrement la gestion des entrées-sorties) au quotidien pour s’introduire dans le réseau de l’entreprise. Ils sont particulièrement à la recherche d’accès existants qui ne sont plus surveillés par leurs utilisateurs légitimes, leur permettant de passer sous les radars. Preuve en est, le nombre considérable de cyberattaques qui ont touché les entreprises et le secteur public en 2022….
Les comptes fantômes particulièrement dangereux pour les prestataires de service
Si les dommages dus à des comptes fantômes n’épargnent personne, ils peuvent être particulièrement impactants chez les prestataires de services :
- Comptabilité
- ESN
- Webmarketing
- Développement de services cloud
- Cybersécurité
- Conseil en transformation digitale
- Data sciences
- Intelligence artificielle
… Les domaines de prédilection des prestataires de services impliquent nombre de recrutements, formations et mobilités d’entreprise tous azimuts. Cette catégorie d’entreprises a renoué avec la croissance après la crise du Covid, comme le montre l’étude Numeum 2021 $3$.
Les mouvements au sein de ces organisations sont souvent marqués, impliquant l’ouverture et le suivi de nouveaux comptes utilisateurs.
En ESN notamment, on remarque un turnover de l’ordre de [20% à 30%](1). Il est dû à la compétition qui s’accentue sur le marché de l’emploi des pour attirer et former toujours plus de jeunes talents. Si ces entreprises n’ont pas mis en place des procédures d’entrées-sorties, il y a un risque de comptes inactifs.
Chez les prestataires de services et particulièrement les ESN, le turnover est également présent au sein même des projets, sur lesquels les consultants sont amenés à travailler périodiquement. Le risque de comptes fantômes est donc décuplé, et les possibilités de compromissions chez les clients également.
Par ailleurs les collaborateurs des ESN bénéficient généralement d’une clause de mobilité dans leur contrat. Ils peuvent quitter une entreprise après l’achèvement d’un projet, ou être mis pour un temps en activité partielle dans l’attente d’une prochaine mission. Des procédures de gestion des entrées-sorties doivent donc être respectées à la lettre pour éviter les failles de sécurité.
Cependant, l’accès aux services internes ou externes n’est pas toujours désactivé dans l’Active Directory ou clôturé durant les périodes de stand-by ou à la suite d’un départ. La porte est alors grande ouverte aux malversations de la part d’employés mécontents mais également de cybercriminels.
3 actions rapides pour éviter les comptes inactifs
Au quotidien, la difficulté réside dans le fait d’agir précisément au niveau de chaque collaborateur jour après jour pour. Voici trois pistes simples à appliquer quotidiennement, pour réduire le risque de comptes fantômes :
- Ouvrir des droits et des privilèges puis les supprimer lorsque l’utilisateur n’en a plus besoin, notamment lorsque l’on parle d’un projet court terme.
- Effectuer des vérifications périodiques du niveau de permission accordé à tout salarié, par exemple pendant où les effectifs sont généralement réduits.
- Réaliser une revue des comptes existants service par service pour détecter et supprimer les comptes fantômes.
Ces actions représentent un travail considérable, c’est pourquoi les capacités d’automatisation sont essentielles dans le choix de l’outil permettant cette gestion.
Dans un monde professionnel en perpétuelle évolution où les collaborateurs changent de projets, d’entreprises périodiquement et télé-travaillent, les organisations ont besoin d’un système de sécurisation des accès efficace, automatisé et pérenne.
Les outils pour simplifier la gestion des accès et prévenir les comptes fantômes
1. L’annuaire LDAP pour organiser les informations d’identification
En regroupant les données telles que les noms d’utilisateurs, les mots de passe, les adresses e-mail, et les numéros de téléphone au sein d’une base de données sécurisée, l’annuaire LDAP (Lightweight Directory Access Protocol) simplifie la gestion des comptes utilisateurs et facilite les mises à jour en temps réel. Les comptes fantômes sont donc facilement identifiés. Par ailleurs avec un annuaire LDAP, les administrateurs peuvent établir des politiques de gestion des comptes inactifs, automatisant ainsi le processus de désactivation et de suppression de ces comptes, notamment en cas d’offboarding IT.
2. Le SSO pour centraliser les accès
La garantie d’accès sécurisée et granulaire au réseau et ressources informatiques nécessite une approche intégrée. Les solutions existent pour maîtriser les changements de projets et le turnover : mise en place d’un serveur d’authentification et du SSO (Single Sign On) consistant à utiliser une authentification unique par collaborateur permettant une ouverture/fermeture des droits centralisée et la mise en place d’automatisation des procédures d’entrée/sortie.
Cette gestion peut aussi s’envisager en complémentarité avec un élément sécurisé (Secure Element) qui protège une authentification forte pour chaque collaborateur. Dans le cadre de OneWave, il permet d’établir un canal sécurisé entre la gestion des accès par la SSI et leur matérialisation du côté des collaborateurs grâce à la carte connectée. Face aux comptes fantômes, les DSI ne doivent pas rester désarmés.
3. L’authentification multifacteur pour sécuriser les comptes inactifs
En combinant généralement quelque chose que l’utilisateur sait (comme un mot de passe), avec quelque chose qu’il possède (comme une clef USB ou une carte à puce), et éventuellement quelque chose qu’il est (comme une empreinte digitale), la MFA renforce considérablement la sécurité.
En ce qui concerne les comptes fantômes, l’authentification multifacteur permettra de limiter les compromissions, si un hacker a réussi à craquer le mot de passe d’un ancien utilisateur, par exemple. Même si un compte est compromis ou qu’un mot de passe est divulgué, l’attaquant aura toujours besoin de fournir une deuxième forme d’identification pour accéder au compte. Ainsi, si un compte est inactif et oublié, il sera moins vulnérable aux tentatives d’intrusion.
4. Le bastion : un rempart contre les comptes fantômes
Le bastion désigne un serveur ou un système spécialement configuré pour résister aux attaques et pour protéger l’accès à un réseau interne. Il joue un rôle de gardien en contrôlant strictement les connexions entrantes et sortantes, réduisant ainsi la surface d’attaque potentielle.
Le bastion renforce la protection contre les comptes fantômes en agissant comme un point de contrôle. Il gère les accès en n’autorisant que les utilisateurs légitimes et en bloquant les comptes inactifs ou suspects. De plus, en exigeant une authentification multifacteur, il renforce la vérification de l’identité des utilisateurs. Les journaux d’activité détaillés des bastions permettent de surveiller les actions des utilisateurs et de repérer toute activité inhabituelle.
De plus en étant positionné entre les réseaux internes et externes, le bastion isole le réseau, réduisant ainsi la surface d’attaque et empêchant les cybermalfaiteurs d’accéder directement aux systèmes internes.
5. Plus globalement : les solutions IAM pour prévenir l’apparition des comptes fantômes
Les outils IAM fournissent une plateforme centralisée pour gérer l’ensemble du cycle de vie des identités utilisateur, y compris la création, la modification, la désactivation et la suppression des comptes. Les solutions IAM sont très utiles pour combattre les comptes inactifs grâce à leur capacité à automatiser la gestion des comptes utilisateurs. Les administrateurs peuvent définir des politiques spécifiques de gestion des accès avec des délais d’inactivité après lesquels les comptes sont automatiquement désactivés ou supprimés. Cela évite que les comptes inactifs ne restent actifs indéfiniment et réduit le risque d’accès non autorisés ou d’utilisation malveillante.
De plus, les outils IAM permettent une intégration fluide avec d’autres systèmes et applications au sein de l’entreprise. Cela signifie que lorsque les collaborateurs quittent l’entreprise ou changent de rôle, leur statut est automatiquement mis à jour dans l’ensemble des systèmes, ce qui élimine le risque de laisser des comptes inactifs non surveillés.
Enfin, les solutions de gestion des accès et des identités offrent une visibilité complète sur les utilisateurs et leurs activités, permettant à la DSI de surveiller en temps réel l’utilisation des comptes. Les administrateurs peuvent donc rapidement détecter les comptes fantômes ou les activités suspectes, et prendre les mesures appropriées pour renforcer la sécurité.
Ce qu’il faut retenir
- Les comptes fantômes sont fréquents et représentent une menace importante pour tous les types d’entreprises, de la PME à la multinationale.
- Chez les prestataires de services particulièrement, un compte inactif compromis peut engendrer des problèmes de sécurité auprès des clients, prestataires et partenaires.
- Une politique de gestion des accès et des identités solides est indispensable pour faciliter la géstion des entrées / sorties, et minimiser l’apparition de comptes fantômes.
- Plusieurs outils IAM tels que le SSO, l’Active Directory et la MFA et permettent de matérialiser efficacement cette politique