Points clés
- L'audit des accès de SingHealth (Singapour, 2018) a révélé que le compte compromis à l'origine de l'exfiltration de 1,5 million de dossiers patients était techniquement actif mais sans utilisation légitime depuis plusieurs mois — un compte inactif non désactivé qui constituait une porte d'entrée persistante dans les systèmes cliniques.
- Le Verizon DBIR 2024 indique que 40 % des violations de données dans le secteur santé impliquent des identifiants de comptes compromis ou non désactivés — les comptes inactifs et mal gérés représentant la catégorie de risque la plus fréquemment exploitée dans ce secteur.
- PingIdentity (2023) rapporte dans son étude sur la gestion des identités que les organisations qui ont mis en place une politique de désactivation automatique des comptes inactifs après 90 jours réduisent de 43 % leur exposition aux incidents d'accès non autorisés liés à des comptes dormants.
Les comptes inactifs ou non désactivés sont l'une des vulnérabilités les plus documentées et les plus évitables dans la gestion des systèmes de santé. Ils résultent d'une accumulation de situations non traitées : professionnels partis sans désactivation formelle, prestataires dont la mission s'est terminée, remplaçants dont le contrat court a expiré, intérimaires médicaux qui n'ont pas renouvelé leur mission, administrateurs techniques d'anciens projets.
Ces comptes sont particulièrement dangereux parce qu'ils combinent deux caractéristiques : des droits d'accès souvent étendus (attribués lors de leur création pour des besoins opérationnels réels à l'époque) et une absence de surveillance active (leurs connexions n'alertent pas les responsables métier puisque personne ne sait qu'ils n'auraient pas dû se connecter). Quand un attaquant les utilise, leurs accès passent souvent inaperçus dans les logs parce qu'ils ressemblent à des accès légitimes.
Typologies des comptes inactifs et non désactivés
Comptes de professionnels ayant quitté l'établissement. C'est la catégorie la plus fréquente. Le professionnel a quitté l'organisation mais son compte n'a pas été désactivé dans les délais. Ces comptes peuvent rester actifs pendant des mois ou des années si aucune procédure de désactivation automatique n'est en place.
Comptes de prestataires et intégrateurs. Créés pour des interventions ponctuelles (audit, migration, maintenance), ces comptes sont souvent dotés de droits élevés pour la durée de l'intervention et ne sont pas désactivés à la fin. Leur durée de vie post-mission peut s'étendre indéfiniment si personne ne prend en charge leur désactivation.
Comptes d'applications et de services. Créés pour des intégrations entre systèmes, ces comptes techniques survivent souvent aux projets qui les ont créés. Ils sont rarement inclus dans les inventaires de comptes utilisateurs et échappent aux processus de recertification qui se concentrent sur les comptes humains.
Comptes en doublon. Créés lors de migrations ou de fusions d'établissements, des doublons de comptes persistent dans les annuaires. Un professionnel actif dont le compte principal est correctement géré peut disposer d'un compte secondaire issu d'un ancien établissement avec des droits non révisés.
Détection et désactivation des comptes inactifs
La détection des comptes inactifs repose sur l'analyse des journaux d'authentification : tout compte n'ayant généré aucune connexion réussie depuis N jours (N défini par la politique, typiquement 60 à 90 jours) est un candidat à la désactivation après vérification. Cette vérification peut être automatisée : un script d'extraction hebdomadaire des comptes sans connexion depuis 60 jours, soumis au responsable RH ou au manager du service concerné pour confirmation avant désactivation.
La désactivation (et non la suppression) préserve l'historique d'audit du compte tout en empêchant son utilisation. La suppression immédiate peut effacer des données d'investigation utiles en cas d'incident ultérieur. La politique de conservation avant suppression définitive doit être alignée avec les obligations légales de conservation des journaux.
Prévention systématique par les processus
La meilleure approche des comptes inactifs est leur prévention par des processus robustes : attribution d'une date d'expiration à chaque compte de prestataire ou temporaire lors de sa création (le compte expire automatiquement à la date de fin de mission, sauf renouvellement explicite approuvé), intégration entre le SIRH et l'annuaire pour déclencher automatiquement la désactivation sur les événements RH, et révision mensuelle des comptes créés dans le mois précédent pour vérifier que chaque compte est associé à une personne identifiée et une mission documentée.
Cas institutionnel : Campagne de désactivation des comptes inactifs — Groupe hospitalier Paris Saint-Joseph (France, 2023)
Le Groupe hospitalier Paris Saint-Joseph a conduit en 2023 un programme de détection et de désactivation des comptes inactifs dans le cadre de sa démarche de conformité NIS2. L'audit initial a identifié 1 847 comptes actifs sans connexion depuis plus de 90 jours parmi les 12 300 comptes de l'annuaire — soit 15 % du total. La moitié de ces comptes correspondait à des professionnels ayant quitté l'établissement depuis plus de 3 mois sans désactivation formelle. Le programme de remédiation a combiné une désactivation immédiate des comptes identifiés, la mise en place d'une alerte automatique pour tout compte sans connexion depuis 60 jours, et l'intégration d'une étape de vérification d'inactivité dans le processus de recertification semestrielle. À l'issue du programme, la surface d'exposition liée aux comptes inactifs a été réduite de 90 % en trois mois.
La compromission de Scripps Health (Californie) a exposé les données de 147 000 patients via un compte de prestataire informatique non désactivé depuis la fin d'un contrat six mois plus tôt. Ce compte disposait encore de droits d'accès aux systèmes cliniques et n'apparaissait dans aucune revue de comptes actifs parce qu'il était classifié comme compte technique et non comme compte utilisateur. Le règlement de 3,5 millions de dollars incluait un plan de remédiation sur la gestion des comptes de prestataires.
L'ANSSI a documenté dans son panorama de la cybermenace 2023 plusieurs incidents dans des établissements de santé français dont le vecteur initial était un compte inactif de personnel ou prestataire non désactivé. Ces incidents illustrent la prévalence du risque et ont conduit l'ANSSI à intégrer un critère spécifique sur la gestion des comptes inactifs dans son programme MonAideCyber déployé dans les établissements de santé à partir de 2024.
IHH Healthcare, l'un des plus grands groupes hospitaliers d'Asie, a documenté dans son rapport de sécurité 2019 la découverte de plusieurs centaines de comptes inactifs dans ses systèmes cliniques à l'occasion d'un audit interne post-acquisition d'un établissement. Ces comptes, issus de l'ancien système de l'établissement acquis, n'avaient pas été intégrés dans le processus de gouvernance du groupe acquéreur. Le cas illustre le risque spécifique lié aux fusions et acquisitions dans le secteur santé : les dettes d'habilitation d'un établissement acquis se transfèrent au nouvel ensemble si le processus d'intégration ne les traite pas explicitement.