- Les RH sont la source de vérité pour trois événements critiques du cycle de vie des identités : l'arrivée (joiner), le changement de poste (mover) et le départ (leaver) — chacun doit déclencher une action immédiate dans les systèmes IAM.
- Colonial Pipeline (2021) : le compte VPN de l'ancien employé utilisé dans l'attaque ransomware n'avait pas été désactivé après son départ — défaillance directement attribuable à l'absence d'interface automatisée entre les processus RH de départ et les systèmes d'accès.
- Marriott/Starwood (2018) : les comptes d'infrastructure hérités de Starwood après l'acquisition n'ont jamais été intégrés dans le SIRH de Marriott, les rendant invisibles pour tout processus de gouvernance basé sur les données RH.
- L'événement "mover" — changement de poste, de service, de responsabilités — est le plus négligé : l'utilisateur conserve ses anciens droits en plus des nouveaux, accumulant du privilege creep à chaque mobilité interne.
- L'intégration SIRH-IAM est le seul mécanisme permettant une gouvernance des accès scalable : au-delà de quelques centaines de collaborateurs, la gestion manuelle des événements du cycle de vie est structurellement défaillante.
La gestion des identités numériques est fondamentalement dépendante de la qualité et de la rapidité des données RH. Les RH détiennent l'information autorisée sur qui travaille dans l'organisation, dans quel rôle, depuis quand et jusqu'à quand. Sans cette information, les équipes IT gèrent des identités dans l'abstrait — sans savoir si les titulaires des comptes sont encore dans l'organisation, si leurs fonctions ont changé, ou si leurs accès sont toujours justifiés par leur mission actuelle.
Cette dépendance crée un impératif d'intégration : les événements RH doivent être transmis en temps réel aux systèmes IAM pour déclencher les actions correspondantes. Toute latence dans cette transmission est une fenêtre d'exposition. Tout événement non transmis est un compte orphelin en puissance. La robustesse du processus de gestion des accès est directement conditionnée par la qualité de l'interface entre les RH et l'IT.
Les trois événements critiques du cycle de vie
Le processus joiner couvre l'arrivée d'un nouveau collaborateur ou prestataire : création du compte dans l'annuaire avec les attributs corrects (nom, service, responsable, date de début), attribution des droits d'accès correspondant au profil de rôle défini, configuration des accès aux outils nécessaires à la prise de fonction, et notification à l'utilisateur. La qualité du joiner conditionne la conformité initiale des droits d'accès — des droits trop larges accordés à l'arrivée ne seront généralement jamais réduits sans un processus de mover ou de revue périodique.
Le processus mover couvre les mobilités internes : changement de service, de poste, de responsabilités. C'est l'événement le plus négligé dans la plupart des organisations. Lors d'une mobilité, l'utilisateur se voit attribuer les droits nécessaires à ses nouvelles fonctions, mais ses anciens droits sont rarement révoqués dans leur intégralité. L'accumulation de droits à chaque mobilité est l'une des sources principales de privilege creep sur les comptes à ancienneté significative.
La violation de Home Depot a débuté par la compromission d'identifiants d'un prestataire de maintenance CVC dont le contrat avait été renouvelé plusieurs fois sans révision des accès accordés. À chaque renouvellement, les accès initiaux avaient été maintenus et, dans certains cas, élargis pour répondre à des besoins opérationnels ponctuels. Faute de processus structuré de révision à chaque événement contractuel (analogue du "mover" pour les prestataires), ces accès avaient dérivé bien au-delà du strict nécessaire. Le prestataire disposait d'une visibilité sur des segments réseau sans rapport avec ses missions de maintenance CVC — une dérive directement exploitée par l'attaquant après compromission des identifiants prestataires.
Le processus leaver : automatisation impérative
Le processus leaver est le plus critique en termes de risque immédiat. Un compte actif dont le titulaire a quitté l'organisation est une surface d'attaque durable et documentée. La fenêtre entre le dernier jour de travail effectif et la désactivation des accès doit être aussi courte que possible — idéalement instantanée pour les départs à risque (licenciements, conflits), et inférieure à 4 heures pour tous les autres départs.
L'automatisation est impérative pour atteindre ces délais à l'échelle. Le workflow type : événement de départ enregistré dans le SIRH → déclenchement automatique de la désactivation dans l'annuaire central → propagation aux applications fédérées via SSO → invalidation des tokens OAuth actifs → désactivation des accès VPN → génération d'une tâche de vérification manuelle pour les systèmes non fédérés → notification au manager et à l'équipe IT. Chaque étape doit être tracée et auditée.
Prestataires et contractuels : la couche oubliée
Les processus joiner-mover-leaver sont conçus pour les employés internes mais s'appliquent avec des adaptations aux prestataires et contractuels. Les données sources sont différentes — les données de contrat remplacent les données SIRH — mais la logique est identique : chaque événement contractuel (début de mission, renouvellement, fin de contrat) doit déclencher une revue et une mise à jour des accès. L'intégration entre les outils de gestion des contrats et les systèmes IAM est moins mature que l'intégration SIRH-IAM, mais constitue un enjeu de sécurité équivalent.
La violation Capital One a impliqué un rôle IAM AWS mal configuré lors de la création d'une instance EC2 et jamais révisé depuis. Ce rôle — une "identité" non humaine — n'était rattaché à aucun processus de cycle de vie structuré : il n'avait pas de responsable désigné, pas de date de révision planifiée, et n'apparaissait dans aucun inventaire de ressources nécessitant une gouvernance active. L'absence d'un processus équivalent au joiner-mover-leaver pour les identités cloud a permis à cette configuration risquée de persister des années sans correction.
La violation EasyJet affectant neuf millions de clients a impliqué des accès persistants non détectés sur des systèmes de réservation. L'enquête ICO a mis en évidence des lacunes dans le traçage des événements d'accès liés aux identités de systèmes partenaires et prestataires intégrés. L'absence de processus leaver formalisé pour les accès inter-systèmes avait permis le maintien d'accès après modification des périmètres contractuels. L'amende de 20 millions de livres sterling souligne que la gestion du cycle de vie des identités numériques engage directement la responsabilité réglementaire de l'organisation.
La violation Air India via le prestataire SITA a exposé les données de 4,5 millions de passagers. L'incident illustre les limites d'une gestion des identités limitée au périmètre interne : Air India pouvait disposer de processus joiner-mover-leaver matures pour ses propres employés tout en n'ayant aucune visibilité sur la gouvernance des identités de son prestataire centralisé de gestion des données passagers. L'intégration de la gestion du cycle de vie des identités dans les exigences contractuelles des prestataires critiques est un prérequis de la gestion des risques tiers.