/ Sécurité informatique / Gestion des accès logiques : comment fermer la porte aux anciens salariés en 1 clic ?
Concept de sécurité informatique montrant la protection des accès aux systèmes d'entreprise
Publié le 17 avril 2024

Le « clic » pour révoquer tous les accès d’un ex-salarié n’est pas un bouton magique, mais le résultat d’une architecture de sécurité bien pensée en amont, dès l’arrivée du collaborateur.

  • Le vrai risque de sécurité ne vient pas tant de l’oubli de fermer un compte, que de la prolifération des privilèges excessifs (« droits admin ») et des « comptes orphelins » non maîtrisés.
  • La seule solution robuste consiste à créer une symétrie parfaite : ce qui est provisionné automatiquement à l’embauche (onboarding) doit pouvoir être dé-provisionné automatiquement au départ (offboarding).

Recommandation : Abandonnez la logique des checklists réactives et adoptez une stratégie de gestion des identités proactive (IAM) basée sur les rôles (RBAC) ou les attributs (ABAC) pour que la révocation des accès devienne une conséquence logique et non une corvée manuelle.

La sueur froide. C’est ce que ressent tout responsable RH ou IT qui, au détour d’un audit ou d’une conversation, réalise qu’un collaborateur parti il y a six mois, voire un an, possède toujours un accès actif au serveur de fichiers, à la base de données clients ou à l’intranet. Une porte grande ouverte sur les actifs les plus précieux de l’entreprise. La réaction immédiate est souvent de se ruer sur des checklists d’offboarding, de multiplier les procédures manuelles et de s’assurer que « la prochaine fois, on n’oubliera pas ». On parle de changer les mots de passe, de supprimer les comptes un par un, une tâche fastidieuse et source d’erreurs.

Ces méthodes, bien que partant d’une bonne intention, ne sont que des pansements sur une jambe de bois. Elles traitent le symptôme – un compte actif qui n’aurait pas dû l’être – sans jamais s’attaquer à la cause profonde du problème. Mais si la véritable clé n’était pas dans la réaction post-départ, mais dans l’architecture même de la gestion des identités et des accès (IAM) ? Et si la capacité à « fermer la porte en 1 clic » n’était que le reflet d’une stratégie de provisionnement intelligente et automatisée mise en place dès le premier jour du contrat ?

Cet article n’est pas une checklist de plus. C’est un guide stratégique pour vous, gardien des clés du château, pour repenser la gestion des accès non pas comme une série de tâches, mais comme un système cohérent. Nous allons explorer pourquoi les approches traditionnelles échouent, comment auditer efficacement les privilèges, choisir la bonne stratégie de contrôle d’accès et, enfin, comprendre que la sécurité de l’offboarding se joue en réalité dès l’onboarding.

Pour naviguer efficacement à travers cette forteresse numérique, voici le plan de bataille que nous allons suivre. Il vous guidera des fondations de la problématique jusqu’aux remparts des solutions les plus robustes, vous donnant les clés pour sécuriser durablement votre système d’information.

Sommaire : La stratégie de défense pour une gestion des accès impénétrable

Pourquoi donner les droits d’admin à tout le monde est une bombe à retardement ?

Les faiblesses de la sécurité des comptes et la mauvaise gestion des privilèges restent parmi les lacunes les plus exploitées dans les défenses des PME.

– NinjaOne, 7 Statistiques sur la cybersécurité que chaque PME et MSP doit connaître en 2026

La culture du « on verra plus tard » ou la facilité apparente de donner des droits administrateur « pour être tranquille » est la première fissure dans la muraille de votre sécurité. Chaque compte disposant de privilèges étendus est une porte d’entrée potentielle pour une attaque. C’est le principe du moindre privilège qui est ici bafoué : un utilisateur ne devrait avoir accès qu’aux ressources strictement nécessaires à l’accomplissement de ses missions. Rien de plus. Un droit d’admin généralisé transforme chaque poste de travail en un maillon faible, exposant l’ensemble du réseau si un seul compte est compromis.

Les chiffres sont sans appel. La menace n’est pas hypothétique, elle est quantifiée et coûte cher. Une violation de données représente un coût moyen de 4,45 millions de dollars pour les entreprises, selon le rapport IBM de 2023. Cette somme astronomique inclut la perte de chiffre d’affaires, les amendes réglementaires, les coûts de remédiation et l’impact sur la réputation. La cause première de ces incidents est souvent liée à des accès illégitimes.

En effet, le rapport Verizon DBIR 2024 révèle que près de 86 % des attaques d’applications web sont attribuées à l’utilisation d’identifiants volés. Un pirate n’a souvent pas besoin de compétences techniques hors normes ; il lui suffit de trouver ou d’acheter les clés d’un compte à privilèges pour entrer par la grande porte. Plus vous distribuez de clés maîtres (les comptes admin), plus vous augmentez la probabilité statistique qu’une d’entre elles tombe entre de mauvaises mains. Laisser des droits étendus à d’anciens salariés, c’est comme laisser les plans du château et les clés des poternes à des inconnus.

Comment auditer qui a accès à quoi sans y passer une semaine par trimestre ?

Faire une revue manuelle des accès est un cauchemar pour tout administrateur système. Exporter des listes depuis l’Active Directory, les croiser avec les fichiers RH, essayer de deviner à quoi correspond le rôle de « Consultant_Projet_X_2019″… C’est une tâche titanesque, chronophage et finalement peu fiable. Le résultat est souvent un rapport obsolète dès sa publication et un sentiment de faux contrôle. La vérité est que sans outils et méthode, l’audit des permissions est une cause perdue qui ne fait que constater les dégâts potentiels sans réellement les prévenir.

L’approche moderne de l’audit ne repose plus sur l’archéologie manuelle mais sur une surveillance continue et automatisée. Des solutions de gestion des identités (IAM) permettent de visualiser en temps réel la cartographie des droits. Plutôt que de chercher une aiguille dans une botte de foin, ces systèmes mettent en évidence les anomalies : un utilisateur du marketing qui a soudainement accès au code source, un compte de stagiaire toujours actif six mois après son départ, ou un pic d’accès à des heures inhabituelles. L’audit devient alors une activité de supervision et de validation, et non plus une enquête fastidieuse.

Comme le montre cette visualisation, un système d’audit moderne se concentre sur la détection des points rouges qui sortent de la norme bleue des accès légitimes. Le travail de l’administrateur n’est plus de vérifier chaque point bleu, mais d’investiguer les quelques points rouges identifiés par l’IA. Cela transforme une tâche d’une semaine en un processus de quelques heures, focalisé sur le risque réel. C’est passer d’un gardien qui vérifie chaque carte d’identité à l’entrée à un système de surveillance qui alerte uniquement lorsqu’une personne non autorisée tente de franchir une porte.

Votre plan d’action pour une revue d’accès efficace

  1. Vérification des comptes inactifs : Assurez-vous que les comptes des anciens employés, partenaires et tiers sont bien inactifs et que leurs droits d’accès ont été révoqués immédiatement après leur départ.
  2. Identification des privilèges cachés : Détectez les « comptes administratifs non officiels », c’est-à-dire les comptes utilisateurs standards qui ont accumulé des privilèges sensibles les rendant de facto administrateurs.
  3. Traque de la « dérive des privilèges » : Identifiez les employés ayant changé de rôle ou de département et vérifiez que leurs permissions actuelles correspondent bien à leurs nouvelles responsabilités, en révoquant les anciennes.
  4. Rationalisation des accès sensibles : Révoquez les privilèges inutiles des comptes administratifs non officiels ou déplacez-les vers un groupe d’administration dédié pour une surveillance accrue.
  5. Mise en place d’un calendrier de revue : Établissez un cycle d’examen régulier et automatisé pour identifier toute permission inappropriée avant qu’un incident ne survienne.

RBAC (Rôle) ou ABAC (Attribut) : quelle stratégie pour une PME en croissance ?

Une fois l’audit réalisé, la question fondamentale se pose : comment structurer les permissions de manière durable et évolutive ? Laisser la gestion des droits au cas par cas est la recette pour le chaos. Deux grandes philosophies s’affrontent : le RBAC (Role-Based Access Control) et l’ABAC (Attribute-Based Access Control). Comprendre leur différence est essentiel pour bâtir une forteresse sécurisée et non une prison administrative.

Le RBAC est le modèle le plus courant et le plus simple à appréhender. On définit des rôles (« Comptable », « Commercial », « Développeur ») et on leur associe un ensemble de permissions. L’arrivée d’un nouveau comptable ? On lui assigne simplement le rôle « Comptable » et il hérite automatiquement de tous les bons accès. C’est simple, clair et très efficace pour des organisations à la structure stable. Son talon d’Achille est la « prolifération des rôles » : à force de créer des exceptions, on se retrouve avec des centaines de rôles spécifiques (« Comptable_Junior_Lyon », « Comptable_Senior_Paris »), ce qui annule le bénéfice initial.

L’ABAC, plus moderne et flexible, ne se base plus sur un rôle statique mais sur des attributs dynamiques. L’accès à une ressource est accordé si une combinaison de conditions est remplie. Par exemple : « Autoriser l’accès si l’utilisateur fait partie du département ‘Finance’ ET se connecte depuis un bureau en France ET pendant les heures ouvrables ». Cette approche est infiniment plus granulaire et s’adapte en temps réel aux changements de contexte. C’est la solution idéale pour les environnements complexes (multi-sites, télétravail, cloud), mais elle requiert une plus grande maturité en termes de gouvernance des données et de définition des politiques.

Pour une PME, le choix n’est pas binaire. Il s’agit souvent de commencer avec une approche RBAC solide et bien définie, puis de l’enrichir progressivement avec des logiques ABAC pour les cas d’usage les plus sensibles. Le tableau suivant, basé sur une analyse comparative des modèles de contrôle d’accès, résume les points clés pour guider votre décision.

Comparaison RBAC vs ABAC pour les PME
Critère RBAC (Role-Based Access Control) ABAC (Attribute-Based Access Control)
Principe Les droits sont attribués à des rôles fonctionnels, et les utilisateurs se voient attribuer un ou plusieurs rôles Les droits dépendent d’attributs dynamiques (département, localisation, niveau de sensibilité, statut employé)
Simplicité de mise en œuvre Simple et efficace pour la majorité des PME Plus complexe, nécessite une gouvernance et une maturité sécurité élevées
Flexibilité Statique, peut montrer ses limites face à la complexité croissante (risque de prolifération des rôles) Dynamique et contextuel, s’adapte naturellement à la croissance et aux changements
Application du moindre privilège Chaque rôle ne dispose que des accès strictement nécessaires à ses missions Précision très élevée, limite les accès excessifs de manière granulaire
Cas d’usage optimal PME avec structure stable, rôles clairement définis Environnements complexes, cloud, mobilité, télétravail, contextes d’accès variables
Offboarding automatisé Révocation par retrait du rôle Révocation automatique basée sur l’attribut ‘Statut: Actif/Démissionnaire’ dans le SIRH

L’erreur d’oublier les comptes de service et les prestataires externes dans la désactivation

La gestion du cycle de vie des employés est souvent la partie visible de l’iceberg. Mais qu’en est-il des accès qui n’appartiennent à aucun humain identifiable ? Les comptes de service utilisés par des applications pour communiquer entre elles, les accès temporaires accordés à des prestataires, les identifiants génériques pour des partenaires… Ce sont les angles morts de la gestion des identités, et souvent les plus dangereux. Ces « comptes fantômes » sont rarement documentés et presque jamais inclus dans les procédures d’offboarding standards.

Le résultat est une accumulation de ce que l’on appelle des comptes orphelins. Des audits de cybersécurité réguliers montrent que 30 à 40% des comptes dans un Active Directory pourraient appartenir à des utilisateurs ou des services qui ont quitté l’organisation ou ne sont plus en activité. Chaque compte de ce type est une porte dérobée, non surveillée, qui attend d’être découverte par un acteur malveillant. Leur mot de passe est souvent faible, rarement changé, et leur activité n’est pas monitorée car « personne n’est censé l’utiliser ».

L’histoire de la cybersécurité est jalonnée d’incidents où des comptes tiers ou de service ont servi de cheval de Troie. Un exemple notoire suffit à illustrer la gravité de cette négligence.

Étude de cas : Le cas SolarWinds

Le cas SolarWinds a démontré comment des accès non révoqués peuvent être exploités comme vecteur d’intrusion dans les systèmes les plus sensibles. Ces comptes orphelins constituent des portes dérobées que peuvent exploiter des attaquants externes ou d’anciens employés malveillants. L’incident a révélé l’importance critique d’une gestion rigoureuse du cycle de vie des comptes, y compris les comptes de service et les accès tiers.

La leçon est claire : une stratégie de gestion des identités complète doit traiter les comptes non-humains avec la même rigueur que les comptes utilisateurs. Cela implique de nommer un « propriétaire » pour chaque compte de service, de définir une date d’expiration pour chaque accès externe, et d’intégrer leur cycle de vie dans la même plateforme de gestion automatisée que celle des employés.

Quand automatiser la création des comptes dès la signature du contrat RH ?

Nous arrivons au cœur de la stratégie, au point qui transforme la gestion des accès d’une corvée réactive en un processus sécurisé et fluide. La réponse à la question « quand automatiser ? » est simple : toujours, et le plus tôt possible. Le moment où le service RH valide la signature d’un nouveau contrat est le point de départ de tout le cycle de vie de l’identité numérique du collaborateur. C’est à cet instant précis que le système doit prendre le relais.

Pourquoi cette obsession pour l’automatisation dès l’onboarding ? Parce que, comme le dit l’adage en sécurité informatique :

Ce qui est provisionné automatiquement peut être dé-provisionné automatiquement. L’automatisation du offboarding (‘fermer en 1 clic’) est le miroir direct de l’automatisation de l’onboarding.

– Youzer, Onboarding et offboarding IT : guide stratégique pour sécuriser le cycle de vie des collaborateurs

C’est le concept de l’architecture symétrique. Si la création du compte, l’attribution du rôle (RBAC) et des droits associés sont déclenchées automatiquement par une information provenant du SIRH (Système d’Information des Ressources Humaines), alors la révocation de ces mêmes droits peut être déclenchée tout aussi automatiquement par le changement de statut de l’employé dans ce même SIRH. La fin de contrat devient un attribut qui déclenche instantanément et sans intervention humaine la désactivation de tous les accès. Le « 1 clic » du titre n’est en réalité même pas un clic : c’est une conséquence logique et inévitable d’un système bien conçu.

Cette symétrie est la seule garantie d’un offboarding exhaustif et immédiat. Elle élimine le risque d’oubli, la latence due aux processus manuels et la dépendance à la communication (parfois défaillante) entre les services RH et IT. L’automatisation n’est pas un luxe, c’est la fondation même d’une gestion des accès sécurisée à l’échelle. Elle transforme une suite de tâches manuelles et faillibles en un flux de travail fiable, auditable et sécurisé.

Pourquoi harceler l’utilisateur de notifications push finit par le faire valider l’intrusion ?

La mise en place d’une authentification multi-facteurs (MFA) est une étape essentielle pour renforcer la sécurité des comptes. Cependant, une implémentation maladroite peut se retourner contre vous et créer une nouvelle vulnérabilité : la fatigue MFA ou « MFA fatigue ». Ce phénomène se produit lorsqu’un utilisateur est submergé de demandes d’authentification légitimes et finit par baisser la garde. Dans ce contexte, un attaquant peut déclencher une série de demandes de connexion en espérant que, par lassitude ou par erreur, l’utilisateur finira par valider une notification push sur son téléphone, lui ouvrant ainsi la porte.

Le facteur humain est un élément central de la sécurité. Il est illusoire de penser que les utilisateurs se comporteront toujours comme des sentinelles vigilantes, surtout lorsque les mesures de sécurité sont perçues comme une contrainte. Une étude sur les PME a révélé que 65% des employés admettent contourner les politiques de cybersécurité pour faciliter leur travail. Si le MFA est trop fréquent et non contextualisé, il entre dans cette catégorie de « contraintes à contourner ». L’utilisateur ne lit plus la notification, il appuie sur « Valider » par réflexe pour pouvoir continuer à travailler.

La solution n’est pas de renoncer au MFA, mais de le rendre plus intelligent et moins intrusif. Il s’agit de transformer l’utilisateur d’un maillon faible potentiel en un véritable capteur de sécurité. Pour éviter la fatigue MFA et renforcer la vigilance, plusieurs stratégies peuvent être mises en place :

  • Implémenter un bouton « Ce n’était pas moi » : Intégrer cette option dans les notifications push permet non seulement de refuser l’accès mais aussi d’alerter instantanément l’équipe de sécurité d’une tentative d’intrusion.
  • Utiliser des politiques d’accès conditionnel : Le MFA ne doit être exigé que lorsque le contexte de connexion est inhabituel ou suspect (nouvel appareil, localisation inconnue, horaire anormal).
  • Limiter la fréquence des notifications légitimes : Des sessions de confiance plus longues sur les appareils connus réduisent le nombre de demandes, rendant chaque nouvelle notification plus significative.
  • Contextualiser les notifications : Chaque demande doit afficher des informations claires comme l’application concernée, la localisation approximative et l’heure de la tentative de connexion pour aider l’utilisateur à prendre une décision éclairée.
  • Former les utilisateurs : Éduquer les équipes à reconnaître les techniques de « push bombing » et à adopter les bons réflexes est fondamental pour transformer cette mesure technique en un rempart efficace.

Pourquoi séparer les données pro et perso est la seule façon de respecter la vie privée ?

Dans un contexte de Bring Your Own Device (BYOD) ou de télétravail généralisé, la frontière entre les usages professionnels et personnels des outils informatiques devient floue. Un employé peut utiliser son ordinateur portable pour consulter ses e-mails professionnels, mais aussi pour stocker ses photos de vacances ou ses documents personnels. Lors de son départ, cette situation crée un dilemme juridique et technique insoluble pour l’entreprise.

Ce dilemme est parfaitement résumé par ce constat d’expert :

Si les données ne sont pas séparées, l’entreprise est face à un choix impossible : soit laisser des données d’entreprise dans la nature, soit risquer de violer le RGPD en supprimant des données personnelles.

– Équipages, Offboarding informatique : comment gérer le départ d’un collaborateur

En effet, l’entreprise a l’obligation de protéger ses données et donc de s’assurer qu’aucune information sensible ne reste sur l’appareil d’un ex-salarié. L’action la plus simple serait de réaliser un « wipe » complet de l’appareil. Cependant, cette action supprimerait également les données personnelles de l’individu, ce qui constitue une violation potentielle de sa vie privée et du Règlement Général sur la Protection des Données (RGPD). Laisser les données en place n’est pas une option, car le risque de fuite est trop élevé. Une étude sur l’offboarding rapporte que près de 20% des entreprises ont subi des failles de sécurité liées à des accès conservés par d’anciens employés.

La seule solution viable est d’adopter, en amont, une politique de conteneurisation. Que ce soit sur un smartphone ou un ordinateur, des technologies permettent de créer un espace de travail chiffré et isolé, entièrement géré par l’entreprise. Les applications, les données et les accès professionnels sont confinés dans ce conteneur sécurisé. L’utilisateur peut utiliser le reste de l’appareil pour ses usages personnels sans aucun risque de mélange. Lors du départ du collaborateur, l’entreprise n’a qu’à supprimer ce conteneur professionnel. Les données de l’entreprise sont effacées en toute sécurité, tandis que les données personnelles de l’utilisateur restent intactes. Cette séparation nette est la seule façon de concilier les impératifs de sécurité de l’entreprise et le respect de la vie privée des individus.

À retenir

  • Le plus grand risque de sécurité interne vient de l’accumulation de privilèges excessifs et de la prolifération de « comptes orphelins » non surveillés.
  • La seule solution robuste pour un offboarding sécurisé est une architecture symétrique : le dé-provisionnement automatisé doit être le miroir de l’onboarding automatisé.
  • Le choix d’une stratégie de contrôle d’accès (RBAC, puis éventuellement ABAC) est une décision stratégique qui conditionne l’agilité et la sécurité de l’entreprise en croissance.

Pourquoi le SMS n’est plus une double authentification sécurisée face au SIM Swapping ?

Dans la hiérarchie des mesures de sécurité, l’authentification à deux facteurs (2FA) par SMS a longtemps été considérée comme un standard suffisant. L’idée est simple : en plus du mot de passe, l’utilisateur doit fournir un code unique reçu par message sur son téléphone. Cependant, cette méthode repose sur une infrastructure, le réseau de téléphonie mobile, qui n’a pas été conçue pour la sécurité et présente une faille majeure : le SIM Swapping. Cette technique d’attaque consiste pour un pirate à convaincre un opérateur téléphonique de transférer le numéro de téléphone de la victime sur une nouvelle carte SIM en sa possession, souvent par ingénierie sociale.

Une fois le numéro détourné, l’attaquant reçoit tous les appels et SMS de la victime, y compris les codes de réinitialisation de mot de passe et les codes 2FA. Pour lui, la porte d’accès aux comptes bancaires, e-mails et systèmes de l’entreprise est alors grande ouverte, même si le mot de passe initial était robuste. Le SMS, autrefois un rempart, devient le vecteur de l’intrusion. C’est pourquoi de nombreuses autorités de cybersécurité, comme le NIST aux États-Unis, ne considèrent plus le SMS comme une méthode d’authentification forte et recommandent de s’en éloigner.

Quelles sont les alternatives robustes ? La sécurité repose sur l’utilisation de canaux d’authentification indépendants et plus difficiles à compromettre. Les applications d’authentification (comme Google Authenticator ou Microsoft Authenticator) génèrent des codes temporaires (TOTP) directement sur l’appareil, sans transiter par le réseau SMS vulnérable. Encore plus sécurisées, les notifications push avec validation contextuelle (comme vu précédemment) ou, le summum de la sécurité, les clés de sécurité physiques (type FIDO2/YubiKey). Ces clés, qui ressemblent à de petites clés USB, exigent une présence physique et une action (appuyer sur un bouton) pour valider une connexion, rendant les attaques à distance pratiquement impossibles.

L’évolution des menaces nous oblige à revoir constamment notre jugement sur ce qui est « suffisamment sécurisé ». Pour le gardien du château, s’appuyer sur le SMS aujourd’hui, c’est comme se contenter d’une porte en bois quand l’ennemi dispose de béliers. Il est temps de passer à des serrures blindées.

Pour garantir une défense en profondeur, il est fondamental de comprendre les limites des méthodes d'authentification traditionnelles et d'adopter des alternatives plus robustes.

La gestion des accès n’est pas une finalité, mais un processus continu d’amélioration. L’étape suivante pour votre organisation n’est pas nécessairement d’acheter un nouvel outil, mais d’initier une discussion stratégique entre les services RH et IT. L’objectif : cartographier le cycle de vie complet d’une identité, de la signature du contrat à la fin de la collaboration, et d’identifier les points de friction manuels pour les remplacer par des flux automatisés et sécurisés. C’est en bâtissant ce pont entre l’humain et la technique que vous transformerez véritablement votre forteresse en un bastion imprenable.

Rédigé par Karim Belkacem, Consultant Senior en cybersécurité et auditeur certifié CISSP avec une expertise pointue en tests d'intrusion (Pentest). Fort de 10 ans d'expérience opérationnelle au sein de SOC (Security Operations Centers), il intervient sur la sécurisation des infrastructures cloud et la réponse immédiate aux attaques par ransomware. Il forme également les équipes techniques aux meilleures pratiques de DevSecOps et d'hygiène numérique.
Que faire dans les 72h si votre base de données clients est exfiltrée ?
Fraîchement publiés
Patch Tuesday : comment déployer un correctif critique en moins de 24h sur 500 postes ?
Correctifs logiciels : comment prioriser les mises à jour sans casser la production ?
Pourquoi le SMS n’est plus une double authentification sécurisée face au SIM Swapping ?
Hygiène informatique : pourquoi vos employés collent encore leurs mots de passe sur l’écran ?
Comment piloter une roadmap R&D ambitieuse sans exploser la dette technique ?
Articles similaires
Comment l’analyse forensic peut sauver votre responsabilité après une intrusion ?
Ransomware : payer ou ne pas payer la rançon, que dit la loi française ?
Comment un audit de sécurité peut réduire votre prime d’assurance cyber jusqu’à 20 % ?
Que faire dans les 72h si votre base de données clients est exfiltrée ?