Phylapp
Risques humains et sécurité interne

Accès non révoqués : un risque sous-estimé

Les accès non révoqués d'anciens employés et prestataires sont documentés comme vecteurs d'intrusion dans de nombreux incidents majeurs. Sans inventaire centralisé des accès, la révocation complète est impossible — les revues d'accès régulières et l'IAM structuré résolvent ce risque.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 17 lectures

Points clés

  • Les accès non révoqués d'anciens employés, prestataires et partenaires sont documentés comme vecteurs d'intrusion dans une proportion significative des incidents majeurs.
  • Le problème est structurel dans la majorité des organisations : sans inventaire centralisé des accès, la révocation complète est impossible à garantir.
  • Les comptes de service et les accès inter-applicatifs sont particulièrement exposés — ils ne sont associés à aucune personne dont le départ déclencherait une revue d'accès.
  • Des revues régulières des accès (access reviews), combinées à un processus d'offboarding automatisé, réduisent structurellement ce risque sans coût opérationnel prohibitif.

Les accès non révoqués constituent une surface d'exposition persistante dans la quasi-totalité des organisations. Ils représentent des portes laissées ouvertes vers des systèmes et des données — accessibles par quiconque dispose des credentials correspondants, que ce soit l'ex-employé lui-même, un attaquant qui a compromis ces credentials, ou quelqu'un à qui ils ont été transmis.

Ce risque est connu, documenté et pourtant persistant. Sa persistance s'explique par l'absence d'inventaire centralisé des accès dans la plupart des organisations, qui rend la révocation complète à chaque départ pratiquement impossible sans outils dédiés. La solution existe — les systèmes IAM (Identity and Access Management) et les revues d'accès régulières — mais son adoption reste insuffisante, souvent par perception d'un coût initial élevé qui occulte le risque réel.

L'inventaire des accès : la base indispensable

On ne peut pas révoquer ce qu'on ne connaît pas. La base d'une gestion efficace des accès non révoqués est un inventaire centralisé et à jour de tous les accès accordés à toutes les personnes — employés, prestataires, partenaires — dans tous les systèmes. Cet inventaire, maintenu automatiquement par un système IAM connecté aux sources autoritatives (SIRH, CRM contracteurs, annuaire), est la condition préalable à tout processus d'offboarding efficace et à toute revue d'accès réelle.

Sans cet inventaire, les revues d'accès ne peuvent auditer que les systèmes connus, laissant invisibles les accès sur des applications SaaS, des environnements cloud développeur ou des outils tiers que les équipes IT n'ont pas inventoriés.

Les comptes de service : l'angle mort des accès non révoqués

Les comptes de service — utilisés par les applications pour communiquer entre elles ou accéder à des ressources — sont particulièrement problématiques car ils ne sont associés à aucune personne dont le départ déclencherait automatiquement une revue d'accès. Ces comptes s'accumulent au fil du temps : applications remplacées dont les comptes de service subsistent, intégrations abandonnées dont les credentials restent valides, APIs tierces auxquelles des accès ont été accordés pour un projet spécifique et jamais révoqués.

Un audit des comptes de service actifs révèle systématiquement des accès qui n'ont plus de raison d'être — chacun représentant une surface d'attaque potentielle pour un attaquant qui aurait compromis les credentials correspondants.

Les revues d'accès régulières : une pratique à institutionnaliser

Les revues d'accès (access reviews) — processus par lequel les propriétaires de systèmes valident ou révoquent les accès de chaque utilisateur à intervalles réguliers — sont le mécanisme le plus efficace pour maintenir la propreté du périmètre des accès. Ces revues, conduites trimestriellement ou semestriellement selon le niveau de criticité des systèmes, forcent une révision proactive plutôt que réactive des accès accordés.

Les systèmes modernes de gestion des identités automatisent en grande partie ces revues : envoi de listes d'accès aux propriétaires pour validation, révocation automatique des accès non validés dans les délais impartis, et reporting sur les accès orphelins détectés. Cette automatisation rend les revues d'accès réalisables sans coût opérationnel prohibitif pour les équipes IT.

Le principe du moindre privilège comme mesure préventive

Le principe du moindre privilège — n'accorder que les accès strictement nécessaires à l'exercice de la fonction — réduit l'impact des accès non révoqués qui survivent à un départ : un accès en lecture seule à des données non sensibles laissé actif est un risque bien moindre qu'un accès administrateur à des systèmes critiques. Mettre en oeuvre ce principe systématiquement, en particulier pour les fonctions sensibles, crée une défense en profondeur qui limite l'impact des inévitables accès non révoqués.

Études de cas

Colonial Pipeline 2021 — Vecteur d'accès initial, VPN non révoqué

Le compte VPN utilisé pour l'accès initial dans la compromission de Colonial Pipeline appartenait à un profil d'utilisateur qui n'était plus actif — soit un ex-employé, soit un prestataire dont le contrat avait pris fin. Ce compte, visible dans les logs avec une dernière connexion datant de plusieurs mois, était protégé par un mot de passe exposé dans des bases de données de credentials compromis circulant sur des forums cybercriminels. Une revue d'accès régulière ou un processus d'offboarding automatisé aurait révoqué ce compte bien avant la compromission.

Capital One 2019 — Permissions excessives d'un ex-employé AWS

L'attaquante dans la compromission de Capital One était une ex-employée d'Amazon Web Services qui, ayant travaillé sur l'infrastructure cloud de Capital One dans un contexte professionnel antérieur, avait une connaissance approfondie de l'architecture. Combinée à une mauvaise configuration SSRF (Server-Side Request Forgery), cette connaissance lui a permis d'exfiltrer les données de 100 millions de clients. Si les permissions et la connaissance des configurations n'avaient pas été transférables depuis son emploi précédent, l'attaque aurait été significativement plus difficile à exécuter.

Audit d'accès — Résultats typiques dans les grandes organisations

Des audits d'accès conduits dans de grandes organisations par des cabinets spécialisés révèlent systématiquement des proportions significatives d'accès orphelins : en moyenne 20 à 30% des comptes actifs dans les systèmes critiques n'ont pas de propriétaire actif identifiable ou ne correspondent à aucun besoin d'accès légitime actuel. Ces chiffres, répétés dans des secteurs variés (finance, santé, industrie, administration), illustrent que les accès non révoqués ne sont pas un problème marginal — c'est la norme dans les organisations sans processus IAM structuré.

États-Unis — NIST SP 800-53, contrôles d'accès et revues obligatoires

Le NIST Special Publication 800-53 (Security and Privacy Controls for Information Systems), référence pour les agences fédérales américaines et largement adopté par le secteur privé, impose des contrôles explicites sur la gestion des accès incluant les revues d'accès régulières et les procédures de révocation automatique. Ces contrôles, documentés et auditables, sont la base des programmes de gestion des identités dans les organisations américaines les plus matures — illustrant que la gestion des accès non révoqués est un sujet de gouvernance structurée, pas uniquement technique.

Union européenne — NIS2, exigences de gestion des accès

La directive NIS2 impose aux entités essentielles et importantes des exigences explicites sur la gestion des accès et des identités, incluant des processus formels de révocation et des revues régulières. Ces exigences, applicables depuis octobre 2024, ont conduit de nombreuses organisations européennes à formaliser et automatiser leurs processus de gestion des accès pour se conformer — transformant une bonne pratique recommandée en obligation réglementaire avec des sanctions potentielles en cas de non-conformité.

Australie — APRA CPS 234, gestion des accès dans le secteur financier

L'APRA (Australian Prudential Regulation Authority) a renforcé dans son standard CPS 234 les exigences sur la gestion des accès pour les institutions financières australiennes, imposant des contrôles documentés sur la révocation des accès lors des départs et des revues d'accès régulières avec traçabilité. Les premiers audits de conformité CPS 234 ont révélé que même les grandes institutions avaient des lacunes significatives dans leurs processus de gestion des accès — confirmant que le problème est universel et que la réglementation est un levier efficace pour le traiter.

Articles similaires

Les risques liés aux comptes partagés et pratiques informelles

Comptes partagés et pratiques informelles d'accès détruisent l'imputabilité, rendent l'investigation d'incidents impossible et violent la séparation des tâches. La solution est d'adresser les problèmes opérationnels réels, pas seulement d'interdire les pratiques.

24 mai 2026 7 min

Comment la pression opérationnelle favorise les contournements de sécurité

La pression opérationnelle est le principal facteur conduisant les employés à contourner les contrôles de sécurité avec de bonnes intentions. Les exceptions temporaires deviennent permanentes. Concevoir des contrôles adaptés à la réalité sous pression réduit structurellement les contournements.

24 mai 2026 7 min

Les comportements internes qui facilitent les attaques externes

Les attaques externes les plus réussies exploitent des comportements internes : phishing ciblé sur des habitudes identifiées, MFA fatigue, exploitation de la réponse aux urgences. Réduire les comportements facilitateurs prévient l'intrusion initiale plus efficacement que les défenses techniques seules.

24 mai 2026 7 min
WhatsApp