Dans les entreprises modernes, il y a une couche silencieuse et dangereuse qui apparaît rarement dans les rapports: les comptes qui ont été laissés derrière lorsque les gens, les services ou les systèmes ont cessé de faire partie de l'organisation. Ces identités abandonnées ne sont pas toujours le résultat de négligences, mais d'une croissance accélérée et d'une fragmentation technologique : des applications qui n'ont jamais été pleinement intégrées dans des systèmes de gestion d'identité, des environnements hérités de comptes locaux et une prolifération d'identités non humaines - comme les comptes de services, les API, les robots et les processus d'IA - opérant en dehors du radar des outils traditionnels.
Les comptes orphelins sont ouverts. Ils conservent des références valables, parfois avec des privilèges élevés, et plus alarmants : sans propriétaire clair qui peut les fermer ou les surveiller. Cette lacune de visibilité est exactement ce que les agresseurs exploitent. Les affaires publiques le confirment, comme l'incident de Pipeline Colonial en 2021, où un ancien compte d'accès à distance sans authentification multifactorielle était le point d'entrée de l'attaque ( rapport dans DarkReading).
La mécanique derrière le problème n'est pas toujours évidente. Les systèmes classiques des plateformes IAM (gestion de l'accès et de l'identité) et IGA (administration de l'identité) sont conçus principalement pour les utilisateurs humains et nécessitent des configurations manuelles par application: connecteurs, cartographie de schéma, catalogues de permis et modélisation de rôles. De nombreuses demandes ne passent pas par ce processus; d'autres ne sont jamais prioritaires lors des fusions et acquisitions. Dans le même temps, les identités dites non humaines - que l'industrie appelle aussi « identités de machines » - manquent souvent d'un cycle de vie géré, les laissant sans contrôle clair. Microsoft décrit l'existence de comptes de services et leurs particularités dans sa documentation technique ( Documentation Microsoft).
Les conséquences sont multiples et réelles. Au-delà du risque direct d'intrusion, l'accumulation de comptes inactifs ou non détenus augmente l'exposition réglementaire en ne respectant pas des principes tels que le privilège minimum et les pratiques de désarrangement qui exigent des normes telles que la norme ISO 27001 ( ISO), PCI DSS ( PCI Normes de sécurité) ou les exigences de l'UE en matière de cybersécurité au titre du NIS2 ( informations sur NIS2). De plus, au cours des processus de fusion et d'acquisition, des milliers de comptes et de jetons obsolètes, y compris de nombreux partenaires tiers, sont souvent levés, ce qui complique la consolidation et augmente la surface de l'attaque.
Des histoires récentes illustrent cela : dans les incidents signalés, des acteurs malveillants ont profité de comptes tiers ou de « comptes fantômes » pour se déplacer latéralement, comme décrit par une analyse d'une attaque avec ransomware Akira dans un rapport d'opérations de sécurité ( analyse de Barracuda). Ces exemples soulignent que les menaces proviennent non seulement des utilisateurs négligés, mais aussi de la complexité opérationnelle et du manque de visibilité des identités non gérées.
Compte tenu de cela, la réponse traditionnelle - examen manuel régulier des comptes et listes de permis - ne suffit plus. Ce qu'il faut, c'est une couche d'observabilité continue qui permet de voir, de corréler et de vérifier chaque identité et son comportement, humain ou non. Cette vision nécessite d'extraire les signaux d'activité directement des applications et des plates-formes, de les relier à l'incorporation ou aux événements faibles, aux journaux d'authentification et aux modes d'utilisation réels. Ce n'est qu'ainsi que l'on peut distinguer un compte légitime qui n'a pas été utilisé en mois pour des raisons valables d'un compte réellement orphelin et dangereux.
Télémétrie d'identité et piste de vérification unifiée sont des outils clés : recueillir des événements en permanence, les normaliser et les relier avec l'information de propriété et le contexte de rôle transforme les hypothèses en preuves. Sur cette base, il est possible de créer des profils d'identité qui indiquent qui a utilisé la ressource, quand et à quelle fin, et d'automatiser les décisions telles que le marquage ou la désactivation des comptes sans activité documentée. L'objectif n'est pas de remplacer les systèmes IAM existants, mais de leur fournir une couche de données vérifiable qui appuie les décisions de gouvernance.
La mise en oeuvre de cette approche comporte des défis techniques et organisationnels : intégrer la télémétrie dans des systèmes hétérogènes, assurer l'intégrité et la bonne conservation des registres d'audit médico-légal, et définir des critères clairs de propriété et de cycle de vie pour les identités non humaines. Les entreprises qui ont progressé dans ce domaine l'ont fait en combinant l'entrée automatique de log avec les règles de corrélation et les workflows qui avisent les responsables - ou désactivent automatiquement - des comptes qui manquent d'activité et de propriétaire.
Ce type de pratique améliore également l'efficacité opérationnelle et réduit les coûts indirects : réduire les licences inactives, réduire le bruit d'audit et accélérer l'intervention en cas d'incident en réduisant plus rapidement les comptes existants et la façon dont ils ont été utilisés. Les organisations et autorités chargées de la cybersécurité recommandent d'accorder la priorité à l'hygiène de l'identité dans le cadre d'une stratégie de défense approfondie; la CISA et d'autres organismes offrent des ressources et des cadres pour améliorer la situation en matière de sécurité dans le domaine de la gestion et de la configuration des comptes sécurisés ( Ressources de la CISA).
L'arrivée d'agents d'IA agissant de manière semi-autonome ajoute une autre couche de complexité : ces processus peuvent créer des jetons, exécuter des API et se déplacer entre des services sans propriétaire humain clair, ce qui les oblige à être inclus dans le catalogue d'identité et soumis aux règles de gouvernance. La communauté de la sécurité commence à adapter les pratiques de gestion de l'identité de la machine pour traiter précisément ces scénarios, reconnaissant que toutes les identités ne devraient pas être gérées comme un utilisateur humain.
Bref, la transformation nécessaire consiste à passer de vérifications et d'hypothèses précises à une surveillance continue fondée sur des données probantes. Ce n'est qu'avec cette visibilité que les comptes orphelins - un passif caché dans de nombreuses infrastructures - peuvent être convertis en objets gérables, avec des propriétaires clairs, des autorisations justifiées et des cycles de vie contrôlés. La technologie et les pratiques pour y parvenir existent déjà; ce qui fait défaut dans de nombreuses organisations, c'est de donner la priorité à cette couche d'observabilité en tant qu'élément central de la stratégie de sécurité et de conformité.
Si vous souhaitez approfondir le fonctionnement pratique de ces approches, en plus des liens mentionnés, vous pouvez consulter des analyses et des guides techniques sur la gouvernance d'identité et la gestion des comptes de service dans des documents spécialisés et des études de cas. Et pour ceux qui recherchent des exemples de solutions commerciales qui proposent une couche d'audit continue unifiée sur les applications et la télémétrie, il y a des fournisseurs émergents qui concentrent leurs produits précisément pour combler cette lacune de visibilité. Pour un point de départ professionnel sur le problème et les réponses possibles, l'article de Roy Katmor dans Orchid Security offre une vue directe de l'industrie ( profil de Roy Katmor).
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...