Dans son rapport de la cybermenace en 2022 l'ANSSI déplorait une augmentation des cyberattaques envers les TPE, PME et ETI qui représentait 40% des ransomware déclarés.
Le shadow IT est une menace sérieuse qui pèse sur les entreprises mais aussi sur les collectivités territoriales et qui représente une part des cyberattaques.
Les comptes fantômes sont des comptes de votre Active Directory qui ne sont utilisés par personne et qui sont susceptibles d’être une porte d’entrée dans votre SI pour des hackers mal intentionnés.
On appelle aussi cela l’informatique fantôme, ces comptes déployés dans votre entreprise ne sont plus sous le contrôle des services informatiques.
Qu'est-ce que c'est un compte fantôme AD ?
Les comptes fantômes peuvent être de plusieurs catégories :
- comptes « systèmes » : ce sont des comptes qui ont été créés par des applications ou des systèmes tiers et qui ne sont plus utilisés car le système n’est plus en place. Un bon exemple est le compte « BESAdmin », bien connu des administrateurs systèmes (moins connu du public). Ce type de compte avait généralement été créé à la grande époque des BlackBerry et qui n’est maintenant plus utilisé.
- comptes utilisateurs orphelins : les utilisateurs de ces comptes ont quitté l’entreprise et sont toujours actifs.
- comptes devant être très rarement utilisés et donc ‘vacant’ depuis plus d’un an comme des comptes de secours.
Il existe en moyenne 25% de comptes dormants dans chaque Active Directory !
En quoi ces comptes sont-ils dangereux ?
Ces comptes représentent un risque car ils ne sont utilisés par personne, ils ne sont pas dans le scope du service IT ( qui est déjà bien occupé à gérer les comptes des utilisateurs présents).
Les hackers peuvent en toute discrétion utiliser ces comptes pour s’introduire sur les serveurs, dans les fichiers de l’entreprise etc… d’autant plus que dans ces comptes dormants vous en aurez un certain nombre aux droits utilisateurs élevés ce qui augmente l’importance de la faille.
Un ancien collaborateur peut également continuer à avoir accès aux données de l’entreprise alors qu’il est par exemple parti chez un concurrent.
De plus, ici on ne parle que des comptes fantômes dans l’Active Directory et non dans la globalité de l’entreprise mais la génération digital native n’hésite plus à installer et utiliser des applications personnelles, SaaS et non sécurisées pour stocker des données de l’entreprise. Alors comment gérer ce 2ème aspect si déjà son propre AD n’est pas exemplaire ?
Comment détecter ces comptes ?
Ces comptes sont difficilement détectables car c’est un croisement de plusieurs informations, disponibles auprès de différents départements de l’entreprise, qui permettra de les identifier.
- la date de dernière utilisation : c’est une première bonne indication qui permet d’identifier les comptes inutilisés ( par exemple depuis plus de 3 mois) donc potentiellement fantômes.
- tous les comptes dont le mot de passe a expiré depuis plusieurs mois mais qui n’a pas été renouvelé.
⚠️ Attention toutefois aux absences longue durée : il ne faut pas forcément désactiver un compte d’une personne en congés maternité ou maladie.
Vous pouvez néanmoins suspendre les comptes d'une personne absente pour une longue durée, cela assurera la sécurité durant ce temps.
Par ailleurs, si le compte est utilisé par un pirate, il ne sera pas dans cette liste…
- la liste des collaborateurs présents, fournie par le service RH, peut se révéler très utile. Les comptes qui ne sont pas présents dans cette liste sont susceptibles d’être « à risque ».
Il faut donc pour cela recouper le fichier RH et le fichier des comptes de l’IT. C’est donc une opération de rapprochement : utilisateurs et comptes, on appelle cela la réconciliation des comptes.
Il y a néanmoins beaucoup d’exceptions : les comptes qui ont été créés pour des prestataires ou tout simplement des comptes systèmes.
Comment traiter ces comptes dormants dans votre AD ?
À ce stade, vous devez comprendre l’intérêt de mettre en place une politique de gestion des comptes dans votre entreprise. Alors quelle est la marche à suivre pour obtenir un AD assaini ?
Vous pouvez les supprimer totalement ou les désactiver proprement. Quelle différence entre les deux solutions ? Celle de la traçabilité. Si vous avez un besoin de traçabilité de vos anciens comptes, nous vous conseillons la désactivation sinon la suppression complète, ce qui est plus simple.
Pour la désactivation réalisée correctement, nous vous conseillons les étapes suivantes :
- identifiez les comptes dormants avec les étapes vues précédemment ;
- désactivez les comptes ;
- vérifiez l’appartenance de ces comptes dans des groupes. Vous avez sûrement structuré votre AD en division, peut-être même créé des groupes pour des projets importants, des accès à certains locaux etc … Supprimez donc les accès à ces groupes ;
- modifiez le mot de passe du compte avec un outil de votre choix pour générer de manière aléatoire un mot de passe fort ;
- déplacez ce compte dans un répertoire de ces comptes suspendus afin de les retrouver facilement (surtout dans le cadre d’une traçabilité) ;
- mettez à jour leurs fiches description de leurs comptes afin de bien préciser que ces comptes sont suspendus depuis quand, par qui et pour quelles raisons.
Vous souhaitez recevoir notre livre blanc sur la gestion des identités et des accès ?
Comment s'y retrouver alors s'il y a des exceptions dans chaque méthode ?
En effet, vous devez, à ce stade de la lecture, vous dire de :
1) ce qu’elle me propose est fastidieux à mettre en place
2) les méthodes n’assurent pas un 100% de détection des comptes orphelins !
Les comptes dormants peuvent être de plusieurs catégories comme nous l’avons vu et pour cela, il y a une solution simple et surtout propre et en conformité avec les règles de sécurité : une solution de gestion des accès et des identités (IAM).
La puissance d’un IAM réside dans sa capacité à croiser des données techniques (les comptes Active Directory) avec des données RH.
Ainsi, chaque compte doit être associé à un individu qui lui-même est associé à l’entreprise avec un lien contractuel (collaborateur, prestataire…).
Les comptes fantômes sont donc très facilement identifiables grâce à l’intervention croisée des RH et de l’IT.
Avec un outil d’IAM, vous êtes alerté s’il y a un compte « orphelin » c’est-à-dire associé à aucun utilisateur.
Grâce au Connecteur Active Directory (très simplement installable sur notre plateforme), votre Active Directory est toujours à jour et vous visualisez directement vos comptes sans avoir à effectuer d’action particulière.
Vous obtenez ainsi une ‘photo’ en temps réel de l’ensemble de vos comptes actifs et de leur association ou non à un utilisateur. Ainsi, vous pouvez traiter chaque compte n’étant rattaché à aucun compte. Pratique !