Rubrique : 🔧 Sous le capot Expertise : Cybersécurité · Tous secteurs Format : Expertise technique accessible — mix risque / technique / réglementaire Longueur : ~1 100 mots Statut : V1 — à valider
Posez la question à n'importe quel RSSI ou DSI honnête : savez-vous exactement qui a accès à quoi dans votre système d'information, en ce moment ? La réponse, presque toujours, est non. Pas complètement. Il y a les comptes créés pour un prestataire qui a fini sa mission il y a 18 mois. Les droits d'administration accordés "temporairement" qui n'ont jamais été retirés. L'ex-collaboratrice dont le compte Teams est encore actif six semaines après son départ.
Ce n'est pas de la négligence. C'est la réalité de toute organisation qui a grandi, changé de logiciels, externalisé des services, recruté et perdu des gens. La gestion des accès et des identités (IAM - Identity and Access Management) est précisément ce qui permet de garder la maîtrise de cette complexité. Et c'est l'une des disciplines les plus sous-investies de la cybersécurité.
Pourquoi les identités sont devenues le périmètre de sécurité
Pendant des années, la cybersécurité a pensé en termes de périmètre réseau : un pare-feu robuste, un VPN, et tout ce qui était "à l'intérieur" était considéré comme sûr. Ce modèle est obsolète.
Aujourd'hui, un employé travaille depuis son domicile, depuis un café, depuis un site client. Il accède à des applications SaaS hébergées chez des tiers. Des prestataires externes interviennent sur votre SI. Des applications communiquent entre elles via des API avec leurs propres identités techniques. Dans ce contexte, la frontière réseau n'existe plus vraiment. Ce qui reste, c'est l'identité - et la question de savoir si la bonne personne accède à la bonne ressource, au bon moment, avec les bons droits.
En 2025, dans les entreprises, on dénombrait en moyenne 82 identités machine pour 1 identité humaine - chaque service cloud, chaque API, chaque bot métier constitue une identité à gérer. La majorité des identités à sécuriser ne sont donc plus des comptes humains. Et la majorité des organisations n'en a pas une cartographie à jour.
Ce que ça donne quand ça déraille - le cas France Travail
En mars 2024, France Travail a subi l'une des plus grandes violations de données de l'histoire administrative française : les données personnelles de 36,8 millions de personnes - inscrites ou anciennement inscrites sur les vingt dernières années - ont été exfiltrées. Numéros de sécurité sociale, adresses postales et électroniques, numéros de téléphone.
L'attaque n'a pas commencé par une faille technique sophistiquée. Elle a commencé par de l'ingénierie sociale : des cybercriminels ont usurpé les comptes de conseillers Cap Emploi, partenaire de France Travail chargé de l'accompagnement des personnes en situation de handicap.
Ce qui a transformé cette intrusion initiale en catastrophe à 37 millions de victimes, c'est ce que la CNIL a mis en lumière lors de son contrôle : les habilitations d'accès des conseillers Cap Emploi avaient été définies de manière trop large, leur permettant de consulter les données de personnes qu'ils n'accompagnaient pas directement. Un compte compromis pouvait donc accéder à bien plus qu'il n'en avait besoin pour son travail.
En janvier 2026, la CNIL a sanctionné France Travail à hauteur de 5 millions d'euros - non pour s'être fait attaquer, mais pour ne pas avoir appliqué les mesures de sécurité adaptées : authentification insuffisamment robuste, journalisation lacunaire, et surtout droits d'accès trop larges.
La leçon n'est pas réservée au secteur public. La CNIL l'a généralisée dans sa publication sur les violations massives de données de 2024 : parmi les failles récurrentes qu'elle observe, "de nombreux utilisateurs peuvent accéder à d'importants volumes de données du fait d'habilitations trop larges" est l'une des plus fréquentes.
Trois situations à risque que vous avez probablement chez vous
Les comptes orphelins Un audit dans une organisation a révélé que 30 % des comptes utilisateurs actifs dans l'annuaire étaient en réalité inactifs - appartenant à des personnes parties, mutées, ou dont le rôle avait changé. Chaque compte orphelin est une porte d'entrée potentielle : si ses identifiants ont été compromis sans que personne ne le sache, un attaquant peut les utiliser indéfiniment.
Les droits excessifs accordés aux prestataires Un prestataire informatique intervient pendant trois semaines pour configurer un serveur. On lui crée un compte avec droits d'administration. La mission se termine. Le compte reste. Trois mois plus tard, ce compte est utilisé pour pivoter dans le SI. C'est l'un des scénarios les plus fréquents documentés par l'ANSSI dans ses rapports d'incidents.
L'accumulation de droits au fil des mutations internes Une collaboratrice passe du service comptable à la direction commerciale, puis à la RH. À chaque mutation, on lui ajoute des accès. On en supprime rarement. Après cinq ans, elle dispose de droits sur trois périmètres - dont deux n'ont plus rien à voir avec ses fonctions actuelles.
Ce que les réglementations imposent maintenant
DORA (finance, applicable depuis janvier 2025) L'article 8 de DORA impose une cartographie des actifs informationnels et de leurs accès. Dans les environnements de type Microsoft 365, cela recouvre des milliers d'espaces collaboratifs - chaque site SharePoint, chaque Teams, chaque OneDrive partagé. La gestion des droits d'accès doit être formalisée, documentée, et auditée régulièrement.
NIS2 (entités essentielles et importantes, applicable 2024-2025) NIS2 impose une politique de contrôle des accès et une gestion des identités dans le cadre plus large de la gestion des risques cyber. Les entités essentielles sont soumises à des contrôles renforcés, avec obligation de déployer notamment l'authentification multi-facteurs.
RGPD (article 32) La sécurité des traitements inclut explicitement la gestion des droits d'accès. La sanction France Travail en est l'illustration directe : l'article 32 du RGPD exige que les droits d'accès soient définis selon le principe du moindre privilège - chaque utilisateur accède uniquement aux données strictement nécessaires à sa mission.
Cinq mesures de base pour reprendre le contrôle
1. Cartographier les identités et les accès Avant de sécuriser, il faut savoir ce qui existe. Inventorier les comptes humains et les comptes techniques (API, services, bots), les droits associés, et les systèmes accessibles. C'est souvent la première découverte désagréable : il y a toujours plus de comptes qu'on ne le pensait.
2. Appliquer le principe du moindre privilège Chaque utilisateur, chaque application, chaque prestataire n'accède qu'à ce dont il a strictement besoin pour sa mission - ni plus. Ce principe est simple à énoncer, difficile à maintenir sans processus. Il implique de revoir les droits à chaque changement de poste, fin de mission ou départ.
3. Déployer l'authentification multi-facteurs (MFA) Le mot de passe seul ne suffit plus - une étude CyberArk 2024 révèle que 49 % des employés réutilisent les mêmes identifiants sur plusieurs applications professionnelles. La MFA ajoute une couche de vérification (code SMS, application d'authentification, clé physique) qui rend l'usurpation de compte exponentiellement plus difficile. NIS2 et DORA l'imposent explicitement pour les accès sensibles.
4. Automatiser l'offboarding Quand un collaborateur part ou change de poste, la désactivation de ses comptes doit être immédiate et automatique - pas laissée à la discrétion des équipes IT débordées. Intégrer le SIRH et le système IAM pour que tout départ déclenche automatiquement la révocation des accès.
5. Auditer régulièrement les droits Une revue périodique des droits d'accès - idéalement trimestrielle pour les accès sensibles - permet de détecter les dérives avant qu'elles ne deviennent des incidents. Cette revue implique les managers métier, pas seulement l'IT : ce sont eux qui savent si un collaborateur a encore besoin d'un accès donné.
Sources
- CNIL, Violation de données - Sanction de 5 millions d'euros à l'encontre de France Travail, janvier 2026 - PDF de la décision
- CNIL, Violations massives de données en 2024 : quels sont les principaux enseignements et mesures à prendre ?, janvier 2025 - cnil.fr
- Orsys / Youzer, Sécuriser les identités et les accès : les secrets d'un IAM moderne, données sur les comptes orphelins et les identités machine - orsys.fr
- CyberArk, Identity Security Threat Landscape Report, 2024 - réutilisation des identifiants (49 % des employés)
- ANSSI, Recommandations relatives à l'authentification multifacteur et aux mots de passe, guide officiel - cyber.gouv.fr
- Règlement (UE) 2022/2554 - DORA, article 8 - gestion des actifs informationnels et des accès - EUR-Lex
Alto France réalise des audits de maturité IAM pour les organisations qui veulent reprendre le contrôle de leurs accès : cartographie des comptes et des droits, identification des comptes orphelins, feuille de route priorisée. Notre offre Cyber Flash 360 vous donne un état des lieux complet de votre exposition en 10 jours.
