Phylapp
Risques humains et sécurité interne

Les risques liés aux comptes partagés et pratiques informelles

Comptes partagés et pratiques informelles d'accès détruisent l'imputabilité, rendent l'investigation d'incidents impossible et violent la séparation des tâches. La solution est d'adresser les problèmes opérationnels réels, pas seulement d'interdire les pratiques.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 58 lectures

Points clés

  • Les comptes partagés et les pratiques informelles d'accès — tolérées pour résoudre des problèmes opérationnels réels — créent des risques de sécurité et de conformité disproportionnés par rapport à leur utilité perçue.
  • L'imputabilité — savoir qui a fait quoi — est impossible avec des comptes partagés, rendant l'investigation d'incidents et la détection d'anomalies inopérantes.
  • Les pratiques informelles persistent parce qu'elles résolvent des problèmes réels que les processus formels n'ont pas anticipés — la solution est d'adresser ces problèmes, pas seulement d'interdire les pratiques.
  • La séparation des tâches et les comptes nominatifs sont des principes fondamentaux de contrôle interne qui s'appliquent aussi bien à la sécurité des systèmes qu'aux contrôles financiers.

Les comptes partagés existent dans presque toutes les organisations, souvent comme solutions pragmatiques à des contraintes opérationnelles réelles : un compte générique partagé pour accéder à un système qui ne supporte pas les comptes nominatifs multiples, des credentials d'administration partagés entre membres d'une équipe pour assurer la continuité, un compte de service créé pour un projet qui est utilisé interactivement par plusieurs personnes.

Ces situations sont compréhensibles dans leur contexte de création. Ce qui est moins compréhensible, c'est leur tolérance durable dans des organisations qui comprennent les risques associés. Car ces risques sont bien identifiés : impossibilité d'imputabilité, surface d'exposition multipliée, absence de traçabilité utilisable pour l'investigation d'incidents.

Le problème de l'imputabilité

L'imputabilité — la capacité à identifier précisément qui a effectué quelle action dans les systèmes — est un principe fondamental de contrôle interne. Elle est indispensable pour enquêter sur un incident (qui a supprimé ce fichier ?), pour détecter des comportements anormaux (pourquoi cet utilisateur accède-t-il à ces données à 3h du matin ?), et pour respecter les obligations réglementaires de traçabilité dans les secteurs sensibles.

Avec un compte partagé, l'imputabilité est structurellement impossible : les logs indiquent que "le compte ADMIN" a effectué une action, mais pas qui des cinq personnes utilisant ce compte était connecté à ce moment. En cas d'incident ou d'audit, cette opacité est un problème majeur qui peut engager la responsabilité de l'organisation vis-à-vis de régulateurs ou de tribunaux.

Les pratiques informelles comme symptôme de processus inadaptés

Interdire le partage de credentials sans adresser les raisons pour lesquelles il existe ne produit que de la compliance de surface — les pratiques perdurent de manière moins visible. La solution durable passe par la compréhension des raisons pour lesquelles les pratiques informelles se sont développées et la conception de solutions formelles qui répondent aux mêmes besoins opérationnels sans les risques associés.

Un partage de credentials pour assurer la continuité pendant les absences est résolu par des mécanismes de délégation d'accès temporaire. Un compte générique pour un système legacy sans gestion multi-utilisateurs est résolu par une mise à jour du système ou par un accès via un bastion qui journalise les sessions individuelles. Dans chaque cas, la solution existe — elle exige seulement une volonté d'investir pour résoudre le problème réel plutôt que de tolérer le risque.

La séparation des tâches dans les systèmes d'information

La séparation des tâches — un principe classique du contrôle interne qui s'applique aux systèmes d'information comme aux processus financiers — exige que des fonctions incompatibles (créer et approuver une transaction, développer et déployer du code en production, créer et auditer des accès) soient séparées entre des personnes différentes avec des comptes distincts. Les organisations qui ont des comptes partagés pour des fonctions sensibles violent ce principe et acceptent des risques de fraude et d'erreur non détectée que leurs auditeurs identifieront systématiquement.

Formaliser pour pérenniser

La formalisation des accès — remplacer les comptes partagés par des comptes nominatifs, les pratiques informelles par des processus documentés, les exceptions permanentes par des mécanismes d'accès temporaire — est un investissement dont le retour se mesure en réduction du risque et en conformité réglementaire. Cette formalisation requiert une coordination entre IT, métiers et RH pour comprendre les vrais besoins et concevoir des solutions qui les adressent sans créer de nouvelles frictions inutiles.

Études de cas

Uber 2022 — Credentials partagés dans un script PowerShell

L'investigation de la compromission d'Uber en 2022 a révélé que des credentials d'administrateur réseau étaient stockés dans un script PowerShell accessible via un partage réseau interne. Cette pratique informelle — stocker des credentials dans un script pour faciliter l'administration — est commune dans de nombreuses organisations et représente exactement le type d'information que les attaquants cherchent après avoir obtenu un premier accès. La découverte de ces credentials a permis une élévation de privilèges rapide vers des accès d'administration à des systèmes critiques.

Fraude bancaire via compte partagé non traçable

Des affaires de fraude interne dans le secteur bancaire documentées par les autorités de régulation européennes ont régulièrement mis en évidence l'utilisation de comptes partagés comme facteur aggravant : l'impossibilité d'identifier précisément l'auteur des transactions frauduleuses a retardé les investigations, permis à certains auteurs d'échapper aux poursuites, et conduit dans plusieurs cas à des suspicions pesant sur l'ensemble des utilisateurs du compte partagé — y compris les non-coupables. Ces affaires ont conduit à des recommandations réglementaires explicites sur l'interdiction des comptes partagés dans les fonctions sensibles.

Audit de sécurité — Comptes partagés dans le secteur public français

Des audits conduits par la Cour des comptes et l'ANSSI dans des entités publiques françaises ont documenté la présence de comptes d'administration partagés entre plusieurs agents dans des systèmes d'information sensibles. Ces constats, récurrents dans les rapports d'audit sur plusieurs années, illustrent que le problème des comptes partagés n'est pas limité au secteur privé et touche des organisations soumises à des exigences réglementaires et de contrôle parmi les plus strictes.

États-Unis — NIST, contrôles sur les comptes partagés et l'imputabilité

Le NIST SP 800-53 interdit explicitement l'utilisation de comptes partagés pour les accès à des systèmes de haute criticité (systèmes fédéraux de catégorie HIGH), et impose des contrôles compensatoires documentés pour les cas où des comptes partagés sont inévitables (par exemple pour certains systèmes legacy). Ces exigences, auditées régulièrement par le Government Accountability Office, ont conduit à des programmes de migration systématique vers des comptes nominatifs dans les agences fédérales — avec des résultats mesurés en réduction des incidents liés à l'absence d'imputabilité.

Union européenne — EBA et l'interdiction des comptes partagés dans les banques

L'European Banking Authority (EBA) a émis des guidelines sur la gestion des accès dans les institutions financières européennes qui interdisent explicitement l'utilisation de comptes partagés pour les accès privilégiés et imposent des contrôles de traçabilité individuels pour toutes les actions dans les systèmes sensibles. Ces guidelines, transposées dans les réglementations nationales, ont conduit les banques européennes à investir massivement dans des solutions de gestion des accès privilégiés (PAM — Privileged Access Management) qui permettent de tracer les sessions individuelles même pour des comptes génériques legacy.

Singapour — MAS Technology Risk Management, comptes nominatifs obligatoires

Les Technology Risk Management Guidelines de la Monetary Authority of Singapore (MAS) imposent aux institutions financières opérant à Singapour l'utilisation de comptes nominatifs pour tous les accès à des systèmes contenant des données sensibles ou critiques, avec une traçabilité individuelle de toutes les actions. Ces exigences, régulièrement auditées, ont conduit les institutions concernées à éliminer progressivement leurs comptes partagés — illustrant comment les exigences réglementaires sont un levier efficace pour traiter des problèmes organisationnels persistants.

Articles similaires

Comment la pression opérationnelle favorise les contournements de sécurité

La pression opérationnelle est le principal facteur conduisant les employés à contourner les contrôles de sécurité avec de bonnes intentions. Les exceptions temporaires deviennent permanentes. Concevoir des contrôles adaptés à la réalité sous pression réduit structurellement les contournements.

24 mai 2026 7 min

Les comportements internes qui facilitent les attaques externes

Les attaques externes les plus réussies exploitent des comportements internes : phishing ciblé sur des habitudes identifiées, MFA fatigue, exploitation de la réponse aux urgences. Réduire les comportements facilitateurs prévient l'intrusion initiale plus efficacement que les défenses techniques seules.

24 mai 2026 7 min

Culture d’entreprise et niveau de sécurité réel : un lien direct

La culture organisationnelle est le déterminant le plus puissant du niveau réel de sécurité — plus que les outils ou les politiques. Une culture qui punit les erreurs, valorise la vitesse sur la sécurité ou traite la conformité comme seul objectif génère structurellement des comportements à risque.

24 mai 2026 7 min
WhatsApp