Gestion des Identités : accorder des accès aux tiers sans compromettre la sécurité des systèmes d'information

Mélanie Lebrun

|

Responsable marketing chez Youzer

02/2025

| Mis à jour le

Articles
>
Gestion des utilisateurs
Accorder des accès aux prestataires, fournisseurs et autres intervenants externes est un véritable casse-tête pour les entreprises. Sans un cadre clair, ces accès deviennent une faille de sécurité majeure, exposant les systèmes à des risques de compromission et de non-conformité. Comment sécuriser efficacement les accès des tiers tout en garantissant fluidité et efficacité ?

Sommaire

La gestion des accès aux personnes tierces, c’est-à-dire celles qui ne font pas partie des effectifs de l’entreprise, est un véritable casse-tête !

Qui sont ces fameuses personnes tierces ? Ce sont toutes les personnes qui ne figurent pas dans le SIRH : stagiaires de moins de deux mois, intérimaires, prestataires, consultants, fournisseurs, sous-traitants, etc.

Pourquoi ces personnes posent-elles un défi pour la gestion des comptes et la sécurité ? Tout simplement parce qu’elles ne sont très peu souvent répertoriées dans les systèmes officiels et que leur gestion reste majoritairement manuelle.

Enquête sur les challenges dans la gestion des identités

En général, les entreprises ont un processus établi pour gérer l’arrivée et le départ de leurs employés. Mais pour les intervenants externes, ce processus est souvent inexistant ou très flou, ce qui crée une gestion chaotique des identités et des accès.

Les entreprises doivent donc relever plusieurs défis : assurer la sécurité de leur système d’information, limiter les risques liés à des accès excessifs, garantir une gestion efficace et fluide des identités et répondre aux exigences de conformité.

Les défis de la gestion des accès des tiers en entreprise

Contrairement aux employés en CDI, dont les accès sont bien encadrés par des processus définis et intégrés dans les systèmes RH, les prestataires et autres tiers sont souvent gérés de manière ad hoc.

Seulement voilà, si la création des comptes se fera (en retard ou non), l'absence de règles uniformes entraînera fatalement des situations où des utilisateurs conserveront leurs autorisations bien après la fin de leur mission, exposant l'entreprise à des risques de compromission. Par ailleurs, les prestataires peuvent cumuler plusieurs accès sur différents projets, rendant leur suivi encore plus complexe.

Là où on arrive à avoir un suivi plus ou moins rigoureux des habilitations des personnes connues dans le SIRH, il n'en est pas de même pour les personnes tierces sur qui il n'y a souvent aucune visibilité.

L’étude de 2024 sur la sécurité des identités dans le secteur financier de SailPoint révèle que 80 % des organisations s’inquiètent de l’attribution d’accès excessifs aux personnes extérieures à l’entreprise. De plus, 74 % des entreprises jugent les processus de gestion des identités trop complexes et longs, ce qui entraîne une surcharge des équipes IT.

Les actions manuelles restent la norme pour de nombreuses entreprises, ralentissant l'attribution et la révocation des accès. Cette dépendance aux processus manuels est non seulement une source d’erreurs – augmentant le risque de mauvaise attribution ou de non-révocation d’autorisations –, mais elle engendre aussi un coût humain conséquent. Les équipes informatiques consacrent une part importante de leur temps à gérer ces accès au lieu de se concentrer sur des tâches stratégiques. Cette lourdeur administrative nuit à l’efficacité globale et freine la réactivité en matière de cybersécurité.

Trop souvent, les prestataires ou fournisseurs reçoivent plus de privilèges que nécessaire, augmentant les risques de violations de sécurité. Appliquer une stratégie du moindre privilège permet de limiter les accès des tiers aux seules ressources essentielles, réduisant ainsi les opportunités d’attaque.

Sans un suivi précis des accès à un instant T, il devient difficile de savoir qui a accès à quoi et pour combien de temps. La moindre erreur peut entraîner une exposition involontaire de données sensibles.

La gestion des identités devient encore plus complexe dans un contexte de forte croissance des entreprises, que ce soit à travers des fusions, des acquisitions ou une expansion rapide des effectifs. Ces événements entraînent une multiplication des accès et une difficulté accrue à maintenir une vision centralisée et cohérente des identités. En cas de fusion ou d'acquisition, les entreprises doivent intégrer de nouveaux collaborateurs et prestataires dont les accès et les autorisations ne sont pas toujours alignés avec les politiques de sécurité en place. Sans un cadre clair et une solution adaptée, ces accès peuvent rester ouverts indéfiniment.

Et puis, l’enjeu n’est pas seulement technique, il est aussi réglementaire. Entre DORA et NIS 2 qui arrivent, les entreprises doivent pouvoir démontrer qu’elles contrôlent les accès aux données sensibles. Or, 64 % des entreprises ont eu un constat d’audit défavorable à cause d’un manque de contrôle sur la gestion des identités.

Envie de voir une démo de Youzer ? Assistez à notre webinaire  
M'inscrire

Bonnes pratiques pour sécuriser l’accès des utilisateurs extérieurs à l'entreprise

Il est essentiel de comprendre que la gestion des accès repose sur une approche structurée et proactive. En effet, sans une vision claire des utilisateurs, de leurs comptes, de leurs privilèges et des processus en place, il devient impossible d’assurer une réponse tant aux utilisateurs, qu'aux besoins de sécurité de l'entreprise. Je vous propose d'étudier plusieurs mesures qui visent à renforcer la gouvernance et à minimiser les risques liés aux accès des tiers.

Intégrer les personnes tierces dans le périmètre IT avec une solution d'IAM.

La première étape pour sécuriser l’accès des tiers est d’avoir une solution IAM (Identity and Access Management) adaptée. Une telle solution permet de centraliser la gestion des identités et des accès en offrant un référentiel unique d’utilisateurs. Par exemple, chez Youzer, plusieurs formulaires permettent aux RH ou aux managers d’ajouter manuellement un futur utilisateur afin qu’il obtienne ses droits et accès au moment voulu. Ce référentiel unifié assure une visibilité optimale des utilisateurs, qu’ils proviennent de sources RH, de fichiers Excel ou de formulaires spécifiques.

Automatiser les processus pour réduire les risques

Selon le rapport sur la sécurité des identités, 48 % des entreprises souhaitent remplacer les processus manuels par des solutions automatisées. Une fois qu’un référentiel IAM est en place, il devient possible d’automatiser la gestion des accès en fonction des besoins et des règles définies. Cela permet d’attribuer des accès dynamiquement, de les révoquer automatiquement à la fin d’une mission et d’éviter les erreurs humaines.

La mise en place d’une gestion rigoureuse des accès passe par des politiques claires : certification régulière des droits, audit des accès et séparation des privilèges critiques.

Comme on peut le voir, la gestion des identités en interne provoque des frustrations telles que des processus manuels et peu d'automatisation = une grande perte de temps.

La gestion des comptes et les problèmes viennent juste après avec un manque de visibilité dans les comptes IT et une détection des anomalies quasi impossible à moins de long travail manuel.

Attribuer des accès temporairement limités

Plutôt que d’accorder des privilèges permanents, les entreprises doivent favoriser des accès temporaires avec expiration automatique. Seulement, sans une vision claire de qui est là, cette étape est totalement impossible. L'intérêt des formulaires est donc fort, grâce aux informations, il devient facile de définir une date limite d’accès et de s’assurer que celui-ci soit désactivé à la fin de la mission.

Plutôt que d’accorder des privilèges permanents, les entreprises doivent favoriser des accès temporaires avec expiration automatique. Cela réduit la surface d’attaque et évite l’accumulation d’autorisations inutiles.

  1. Renforcer la Sécurité par l’Authentification Multi-Facteurs (MFA)
  2. Exiger une authentification renforcée pour tous les accès tiers permet de limiter les risques d’usurpation d’identité et de protéger les ressources critiques.
  3. Protéger la Chaîne d’Approvisionnement
  4. Les tiers jouent un rôle clé dans l’écosystème des entreprises. Un prestataire compromis peut devenir une porte d’entrée pour les cyberattaques. Il est donc essentiel d’intégrer la gestion des accès des fournisseurs dans une stratégie globale de sécurité.
  5. Réaliser une Revue des Comptes RégulièreUne fois les accès attribués et automatisés, il est crucial de procéder à une revue périodique des comptes et des droits d’accès. Une à deux fois par an, les entreprises doivent auditer les comptes actifs pour s’assurer que seuls les utilisateurs légitimes disposent encore d’autorisations. Cette mesure permet de détecter et de supprimer les accès obsolètes, limitant ainsi les risques de sécurité.
  6. Chaque départ de tiers doit être accompagné d’une révocation immédiate des accès. Les processus doivent être définis pour assurer que plus aucun utilisateur externe ne puisse se connecter après la fin de sa mission.
Vous voulez voir comment automatiser vos comptes IT ?

Venez assister à notre prochain webinaire, nous vous présenterons les enjeux de l'IAM, les problématiques de la gestion manuelle des comptes utilisateurs.
Nous verrons ensemble comment Youzer peut vous aider à les automatiser.

M'inscrire

Cas pratiques et scénarios de menaces

L'octroi d'accès aux utilisateurs tiers représente un risque majeur si les bonnes pratiques ne sont pas appliquées. Il est essentiel de limiter les accès aux seules informations nécessaires et de ne pas collecter plus de données qu'il n'en faut. Une surveillance accrue des utilisateurs extérieurs doit également être mise en place afin d'éviter des compromissions potentielles.

Coût des actions manuelles dans la gestion des personnes extérieures

Au-delà des enjeux de cybersécurité, la gestion des accès des tiers engendre un coût humain et organisationnel non négligeable. Chaque demande d’accès implique des échanges répétés entre les managers, les prestataires et les équipes informatiques, ce qui allonge les délais et mobilise des ressources précieuses. Sans processus automatisé, les services informatiques doivent gérer manuellement la création, la modification et la suppression des accès, entraînant une surcharge de travail et augmentant le risque d’erreurs. Cette inefficacité opérationnelle a un impact direct sur la productivité et les coûts internes de l’entreprise. Ainsi, même en l'absence de cyberattaque, ces processus lourds et chronophages doivent être optimisés pour garantir une meilleure agilité et un contrôle renforcé.

Exemples de cyberattaques sur des prestataires extérieurs

Les attaques informatiques exploitant des accès tiers sont nombreuses. Un exemple récent concerne les enseignes françaises Boulanger et Cultura, victimes en 2024 d'une fuite massive de données clients. La compromission provenait d'un prestataire informatique externe commun aux deux entreprises, démontrant à quel point la chaîne d’approvisionnement numérique peut être vulnérable.

Autre cas frappant, en novembre 2024, l'hebdomadaire Le Point a subi une fuite de données où un pirate a revendiqué la possession d'informations personnelles de 900 000 personnes. Cette attaque a été rendue possible par une faille dans un outil de gestion de la relation client utilisé par un sous-traitant du journal. Ces incidents illustrent comment un manque de contrôle sur les accès tiers peut engendrer de lourdes conséquences en matière de cybersécurité. Un cas emblématique est celui de l'attaque contre Target en 2013, où des cybercriminels ont réussi à s’introduire dans le système de l’entreprise via un fournisseur de services HVAC (chauffage, ventilation et climatisation). Cette faille a conduit au vol de plus de 40 millions de données de cartes bancaires. Cet incident illustre bien comment un accès tiers mal contrôlé peut compromettre l’ensemble d’une organisation.

D’autres incidents similaires ont été recensés dans divers secteurs, notamment dans le domaine de la santé et de la finance, où les accès des prestataires et fournisseurs ont été exploités pour exfiltrer des informations sensibles.

Conclusion

La gestion des accès aux tiers est une problématique critique pour les entreprises. L'absence de processus standardisés et la dépendance aux actions manuelles créent des risques considérables : accès trop permissifs, manque de visibilité sur les utilisateurs, et retard dans la révocation des droits. Ces failles ouvrent la porte aux cyberattaques, comme l’illustrent les nombreux incidents récents impliquant des prestataires externes.

Face à ces défis, l'automatisation s’impose comme la seule approche viable pour garantir à la fois sécurité, efficacité et conformité. Une solution IAM robuste permet de centraliser les identités, d’appliquer des règles strictes de gouvernance et d’assurer une gestion fluide des accès. Grâce à des processus automatisés, les entreprises peuvent attribuer des droits de manière dynamique, limiter les accès dans le temps et garantir leur révocation immédiate après la fin d’une mission.

L’enjeu est double : protéger les systèmes d’information tout en allégeant la charge des équipes IT. En adoptant une approche proactive et automatisée, les organisations peuvent non seulement réduire leur surface d’attaque, mais aussi répondre aux exigences réglementaires croissantes. L’automatisation n’est plus une option, c’est un impératif pour sécuriser les accès des tiers sans compromettre la productivité.

Récap'IT la newsletter de la DSI

Recevez le meilleur des actus IT du mois.
Évolution du marché, tendances IT, les cyberattaques en France ... un condensé de l'actualité informatique du mois.

Recevoir l'actu IT

Articles recommandés

Offboarding Informatique : Les Meilleures Pratiques pour Assurer la Sécurité de vos Données
Onboarding informatique : les points clés pour le réussir
Un processus d'offboarding est-il vraiment nécessaire ?

Découvrez Youzer, la première plateforme
pour gérer simplement vos utilisateurs et leurs accès

Tester YouzerRéserver une démo

Fermer

Hey ! Vous connaissez la chanson :) Nous utilisons des cookies d'analyse de données anonymes. En “Acceptant tous les cookies”, vous nous aidez à comprendre les pages vues (anonymes). En savoir plus sur notre politique de confidentialité.
PréférencesRefuserAccepter