- La gestion des accès agit comme un amplificateur ou un limiteur de l'impact d'un incident cyber : des droits excessifs et une segmentation insuffisante multiplient le périmètre de ce qu'un attaquant peut atteindre après un accès initial.
- SolarWinds (2020) : neuf mois de présence non détectée dans les systèmes de 18 000 organisations — une durée directement conditionnée par l'absence de surveillance des comportements d'accès sur les identités de build et de déploiement.
- Medibank (2022) : l'attaquant a accédé aux données de 9,7 millions de clients via un compte prestataire compromis. L'absence de segmentation fine entre les accès prestataires et les données cliniques sensibles a amplifié le périmètre de la violation.
- L'investigation post-incident est directement conditionnée par la qualité des logs d'accès : sans journalisation exhaustive des authentifications et des actions, il est impossible de reconstituer le chemin d'attaque et d'évaluer le périmètre exact des données compromises.
- Le temps moyen de détection (MTTD) d'une violation est directement corrélé à la qualité de la surveillance des accès : les organisations avec des contrôles d'accès matures détectent les incidents en jours, celles sans ces contrôles en mois.
L'impact d'un incident cyber est rarement proportionnel à la sophistication de l'attaque initiale. Il est surtout proportionnel à la qualité des contrôles d'accès en place : un accès initial limité dans un environnement bien segmenté reste contenu ; le même accès dans un environnement sans segmentation ni surveillance peut donner accès à l'ensemble du système d'information. La gestion des accès n'est pas seulement un contrôle préventif — c'est un limiteur de propagation et un facilitateur d'investigation.
Pour un RSSI, cette perspective change la justification des investissements en gouvernance des accès. Il ne s'agit pas seulement de prévenir les incidents — qui restent inévitables — mais de limiter leur impact quand ils surviennent, et de disposer des capacités d'investigation qui permettront de comprendre précisément ce qui s'est passé, d'en mesurer les conséquences réelles, et de justifier les notifications réglementaires.
Accès initial : la porte d'entrée
La qualité des contrôles d'accès détermine la difficulté de l'accès initial pour un attaquant. Des mots de passe forts associés à une MFA résistante au phishing, des comptes prestataires aux droits strictement limités, des API authentifiées et dont les droits sont périodiquement révisés — ces contrôles érigent des barrières à l'entrée significatives. A contrario, un compte orphelin avec un mot de passe jamais changé, une API sans authentification forte, ou des credentials en clair dans un fichier de configuration accessible constituent des vecteurs d'entrée triviaux pour un attaquant opportuniste ou ciblé.
Le paradoxe est que les accès les moins surveillés sont souvent les plus faciles d'exploitation : comptes de service aux droits larges sans rotation des mots de passe, accès prestataires jamais révisés, tokens d'API permanents sans date d'expiration. Ce sont précisément ces accès qui n'attirent pas l'attention quotidienne des équipes IT mais qui constituent des cibles privilégiées pour des attaquants disposant du temps de reconnaissance nécessaire.
L'impact de NotPetya sur Maersk — 300 millions de dollars de pertes, reconstruction complète de l'infrastructure mondiale — illustre comment l'absence de contrôles d'accès agit comme multiplicateur de dommages. Le malware a exploité des credentials d'administration locaux identiques ou dérivables sur des milliers de machines Windows du réseau mondial, se propageant sans rencontrer de segmentation effective. Un seul poste compromis en Ukraine a suffi à paralyser l'ensemble du réseau Maersk en moins d'une heure. Les contrôles d'accès absents — moindre privilège, segmentation, rotation des credentials d'administration locale — n'auraient pas empêché l'infection initiale mais auraient contenu sa propagation à un périmètre limité, réduisant l'impact de plusieurs ordres de magnitude.
Propagation latérale : le rôle central de la segmentation
Une fois un accès initial obtenu, la capacité d'un attaquant à se déplacer latéralement dans le système d'information est directement conditionnée par la qualité de la segmentation des accès. Dans un environnement sans segmentation, un compte compromis peut atteindre l'ensemble des systèmes accessibles depuis le réseau concerné. Avec une segmentation stricte — micro-segmentation réseau, cloisonnement des comptes de service, politique de moindre privilège — l'accès initial est contenu à un périmètre limité, forçant l'attaquant à effectuer des mouvements latéraux supplémentaires, chacun représentant une opportunité de détection.
Les techniques de mouvement latéral les plus courantes — pass-the-hash, pass-the-ticket, exploitation de comptes de service aux droits larges, pivot via des systèmes de gestion centralisés (SCCM, Ansible, Chef) — sont toutes facilités par des contrôles d'accès insuffisants. Les mesures de mitigation sont directement des mesures de gestion des accès : rotation des credentials locaux, segmentation des comptes de service par périmètre, limitation des droits des outils de gestion centralisée.
Investigation : la dépendance aux logs d'accès
La capacité d'investigation post-incident est directement conditionnée par la qualité de la journalisation des accès. Pour répondre aux questions essentielles d'une investigation — quand l'attaquant a-t-il accédé pour la première fois ? quels systèmes a-t-il atteints ? quelles données a-t-il consultées ou exfiltrées ? — il faut disposer de logs d'authentification et d'accès aux ressources complets, centralisés, intègres (non modifiés par l'attaquant) et rétention suffisante. L'absence de ces logs, ou leur présence partielle, rend l'investigation incomplète et la notification réglementaire imprécise — exposant l'organisation à un risque de non-conformité en plus du risque opérationnel.
La violation Equifax exposant 147 millions d'Américains a nécessité des mois d'investigation pour déterminer précisément quelles données avaient été compromises. L'une des difficultés majeures était l'insuffisance des logs d'accès aux bases de données internes — les mouvements latéraux de l'attaquant dans les systèmes n'étaient que partiellement tracés. Cette limitation a prolongé l'investigation et a rendu difficile la notification précise aux personnes concernées, aggravant les conséquences réglementaires. Le rapport d'enquête du Congrès a explicitement recommandé le renforcement des capacités de journalisation comme mesure corrective prioritaire.
La publication de 9,5 gigaoctets de données internes de Thales par LockBit a illustré l'impact d'une exfiltration dans un environnement où les accès aux données de propriété intellectuelle n'étaient pas suffisamment segmentés ni surveillés. La capacité à exfiltrer un volume aussi important de données sensibles — plans de projets, contrats, données techniques — sans déclencher d'alerte soulève des questions sur la qualité du monitoring des accès aux ressources critiques. Dans le secteur de la défense et de la sécurité, l'impact d'une telle violation dépasse largement le périmètre financier et inclut des dimensions stratégiques et de sécurité nationale.
Les trois mois de présence non détectée dans les systèmes SingHealth illustrent l'effet de l'absence de surveillance comportementale des accès sur la durée de détection. L'attaquant avait accédé à des données de manière répétée sur plusieurs mois sans déclencher d'alerte — parce qu'aucun système n'analysait les patterns d'accès aux données patients pour identifier les comportements anormaux. La commission d'enquête gouvernementale a recommandé l'implémentation de solutions UEBA (User and Entity Behavior Analytics) et la révision de l'architecture de monitoring des accès comme mesures prioritaires post-incident.