Gérer les départs : le hacker c’est votre ancien utilisateur

Le départ des collaborateurs est une étape cruciale en entreprise pourtant c’est celle qui fait le moins rêver et qui est donc délaissée.

Les raisons de quitter son entreprise sont multiples et en cherchant un petit peu on trouve vite des conseils pour donner une raison ‘avouable’ à son employeur.
Le fait est, il y a une proportion élevée de personnes qui quittent leur emploi pour des raisons négatives (salaire bas, mauvaise ambiance, management délétère, ennui, pression …) sauf que vous ne le saurez pas.

Certaines personnes quittent leur entreprise avec un gros ressenti, et c’est là tout le problème.

L’envie de nuire peut-être forte et c’est à vous de désamorcer ces situations mais aussi de les sécuriser.

‍

L'offboarding informatique

Nous avons détaillé les raisons de réaliser un offboarding du point de vue humain avec comme enjeu la gestion des utilisateurs.

Je vous propose ici un autre angle, celui de l’intérêt du offboarding côté informatique. Si le manager et les ressources humaines ont un intérêt fort à réaliser un départ correct, le rôle de l’IT dans le départ est tout aussi crucial, mais pourquoi ?

En effet, il n’a pas un impact direct sur le salarié, mais sur la sécurité de l’entreprise. C’est ce que nous allons voir.

Un collaborateur qui quitte son poste quitte aussi un ensemble d’outils et de logiciels dont il avait des comptes d’accès. Imaginez que vous oubliez de réclamer le badge d’accès de votre entreprise ? Cela aurait des conséquences, d'embêtantes à graves en fonction du secteur dans lequel vous évoluez. Récupérer les clés, les badges d’accès sont rarement des choses qu’on oublie de faire lors d’un départ.

Maintenant, imaginez que vous oubliez de récupérer l’ensemble des comptes auxquels le collaborateur avait accès et de les clôturer. Si vous n’arrivez pas à visualiser, il s’agit de la même chose que l’exemple du badge, mais au niveau des données de l’entreprise.

Ces fameux comptes actifs d’utilisateurs partis s’appellent des comptes orphelins et c’est une forme de shadow IT. Nous avons détaillé ce qu’étaient les comptes fantômes dans ce précédent article si vous souhaitez approfondir le sujet.

Les comptes orphelins

Un compte orphelin est un compte informatique actif qui n'est pas associé à un utilisateur ou dont l'utilisateur n'est plus présent dans l'entreprise.

‍

Les comptes orphelins sont créés indirectement par le cycle de vie des collaborateurs.

‍

Les services informatiques interviennent dans les parties 2, 3 et 4 du cycle de vie d’un employé ! C’est aussi la face cachée du cycle de vie.

• À l’intégration, le collaborateur devient un utilisateur qui a besoin de matériels physiques et de comptes logiciels. L’IT doit lui créer un certain nombres de comptes comme l’AD, son mail, ses outils collaboratifs, communicationnels et ceux spécifiques à son domaine.
• Dans sa progression, l’utilisateur est amené à évoluer et il aura besoin de nouveaux logiciels et applications. Il pourra même changer de poste, de services. L’IT aura un rôle d’accompagnateur dans cette évolution car l’enjeu est de taille : éviter à tout prix le shadow IT et donc l’utilisation de comptes non répertoriés par la DSI. Le dialogue doit être ouvert et la liste des comptes bien répertoriée et suivie. La DSI doit s’assurer à cette étape de vie que les accès dont bénéficie le collaborateur sont en phase avec son poste, son niveau hiérarchique. Si besoin, monitorez certains comptes sensibles. Par exemple, si la personne arrive à la direction, certains accès deviennent très sensibles. Si une personne quitte le service commercial vers un autre service, certains comptes relatifs aux clients/prospects doivent être suspendus et clôturés.
  ⚠ Attention, c’est dans cette phase qu’une partie des comptes orphelins apparaissent !
• Le départ, l’utilisateur quitte l’entreprise et part vers de nouvelles aventures dans une autre entreprise ou pour un autre projet. L’informatique joue un rôle majeur à ce moment-là dans la sécurité de son entreprise. TOUS les comptes du collaborateur doivent être suspendus puis clôturés. C’est dans cette dernière étape que la plupart des comptes orphelins naissent.

‍

Dans les parties évolutions et départ, les comptes orphelins arrivent souvent parce que l’IT n’est pas au courant des changements de postes et du départ du collaborateur. C’est un problème de communication entre les services RH, les managers et l’IT.

• Le manager ne signale pas à la DSI certains transferts de comptes d’une personne à une autre, ils ne parlent pas de la nouvelle app’ qu’ils ont testé, etc.
• Les RH ne signalent pas le changement de poste à la DSI ni son départ, car ils sont souvent débordés et ne pensent pas au service informatique, non pas dans un mépris, mais tout simplement par oubli ou par méconnaissance.

Résultat : le fichier RH ne correspond pas du tout avec le fichier utilisateur de l’IT.

Y a-t-il vraiment un intérêt à gérer les comptes 'fantômes' ?

On a bien compris que tout l’enjeu tourne autour de la transmission d’informations :

• des logiciels et applications utilisés
• des droits d’accès accordés
• des transferts de comptes réalisés
• des mutations des collaborateurs
• des départs des collaborateurs

Vous me direz à ce moment de la réflexion, d’accord mais on fait comment pour avoir un AD et des logiciels sains ? Vous réalisez que nous aussi on déborde de missions ? Pourquoi s’embêter avec quelque chose qui n’apporte même pas de valeur ajoutée à quiconque dans l’entreprise ?

Et c’est là tout le problème.

Oui, vous avez raison, vous n’apportez pas de satisfaction à l’utilisateur à supprimer ses anciens comptes, ni à son manager et ni même aux RH, alors pourquoi tout cet article ?

Comment se passe la cyberattaque dans ce cas ?

Les accès sont découverts, les hackers explorent les données de l’entreprise durant plusieurs semaines, trouvent d’autres accès administrateurs, à privilèges et téléchargent un maximum de gigaoctets de données.

Une fois que les hackers ont pris tout ce dont ils avaient besoin, ils finalisent leur attaque en déployant un ransomware qui va crypter l’ensemble des données de l’entreprise ou ils vont supprimer purement des données comme des serveurs virtuels. Il s’agit vraiment du coup final après une longue attaque.

CYBERATTAQUE

‍

Ce mot fait d’un coup super peur ! Mais que vient-il faire au beau milieu de ce sujet ?

Votre ancien collaborateur peut devenir votre future faille de sécurité directement ou indirectement.

• votre ancien collaborateur a une rancœur contre l’entreprise + des comptes administrateurs encore actifs
• votre ancien collaborateur se fait approcher par des cyberattaquants qui lui proposent une belle somme d’argent en échange de ses accès encore ouverts
• votre ancien collaborateur a encore des comptes actifs, mais n’a aucunement l’intention de vous nuire. Cependant, des hackers découvrent ces comptes actifs et s’en emparent.

N’oubliez pas certains cas plus difficiles, mais tout autant à risques, le décès d’un collaborateur ou le départ pour cause de maladie. Les comptes restent ouverts.

Comment se prémunir d'une attaque aux comptes fantômes ?

Le plus simple est le plus évident : évitez d’avoir des comptes fantômes ^^

Nettoyez vos comptes orphelins

Pour cela, un outil de gestion des identités et des accès (IAM) sera votre arme ultime dans la lutte contre les comptes orphelins et fantômes. Une solution d’identity and access management vous permettra de croiser deux fichiers : celui des RH (SIRH) avec les collaborateurs, leurs dates d’arrivées et de départ et le fichier de l’IT (Active Directory) avec les utilisateurs et leurs comptes.

‍

De cette manière, vous aurez des alertes en cas de :

• non-concordance du fichier (salariés partis)
• départ d’un collaborateur
• désalignement des droits pour les accès à certains logiciels et fonction de leurs postes.

La solution d’IAM vous remontera aussi tous les doublons, les comptes rattachés à aucun utilisateur… Votre rôle consistera à résoudre ses remontées d’informations.

Monitorez vos comptes à privilèges

S’il vous reste malgré tout du shadow IT, regardez du côté des comptes à privilèges.

Les attaquants vont toujours chercher en priorité un compte à privilèges larges, c’est leur priorité. C’est quasiment un facteur de réussite dans l’attaque.

L’inconvénient, avec l’augmentation des outils en SaaS dans le cloud, les comptes à privilèges prolifèrent ne serait-ce que pour maintenir et protéger les applications SaaS.

Il est donc important d’apporter une attention particulière à ces comptes et de les sécuriser. Plus la navigation dans vos serveurs sera difficile plus facilement les mouvements des hackers pourront être détectés. L’idée est bien sûr de détecter leurs présences le plus tôt possible dans l’attaque.

Un monitoring des comptes à privilèges est à mettre en place. Vous pouvez aussi réaliser cette surveillance grâce à un outil d’IAM.

Effectuez vos mises à jours

Configurez correctement vos outils de protection de votre infrastructure et surtout, faites les mises à jour et appliquer les correctifs. Selon l’institut Ponemon, les vulnérabilités non corrigées ont entrainé 60% des atteintes à la protection des données en 2019.

Les départs, les maillons faibles de l'IT

Les départs sont souvent le point faible de la sécurité d’une entreprise. Les comptes orphelins, le shadow IT créés par ces départs sont actuellement une source intarissable de cyberattaque.

Les comptes administrateurs actifs d’utilisateurs partis représentent un risque tout aussi élevé que des mots de passe faible, des pièces jointes malveillantes, le phishing etc.

Si vous souhaitez discuter de la gestion du shadow IT, des comptes orphelins, des doublons… et assainir votre AD, nous serons ravis de vous éclairer.