Archives par mot-clé : iam

Cybersécurité, Entreprise

Licenciements : sécuriser les accès et les données

Laisser un commentaire

Quand un salarié change de poste ou quitte l’entreprise, chaque accès oublié ou support non restitué devient une opportunité de fuite, de sabotage discret ou de revente de données sensibles.

Le départ d’un collaborateur, volontaire ou contraint, est un moment critique pour la sécurité des systèmes d’information. Entre télétravail généralisé, outils cloud et informatique parallèle, les risques de fuite de données explosent si la révocation des accès, la restitution des supports et le contrôle des téléchargements ne sont pas rigoureusement encadrés. Comme va vous le montrer DataSecurityBreach.fr les licenciements nourrissent une offre soutenue sur le darknet, où des bases clients et informations internes se négocient activement. En structurant les procédures d’embauche, de mobilité et de sortie autour du principe du moindre privilège, de l’Identity and Access Management et de la surveillance des usages, les entreprises réduisent fortement la surface d’attaque interne.

Le licenciement, moment privilégié pour les fuites de données

Le fonctionnement normal d’une organisation repose sur une évidence souvent oubliée en sécurité : aucun salarié n’est éternel. Les recrutements, les mobilités internes, puis les licenciements forment un cycle naturel, mais les politiques de protection du système d’information se concentrent beaucoup plus sur l’entrée que sur la sortie des personnes. Cette asymétrie crée un angle mort où les risques explosent précisément au moment où le lien de confiance se fragilise.

Les fuites liées aux licenciements constituent une des infractions intentionnelles les plus courantes dans les entreprises. Les données internes, notamment commerciales, sont activement recherchées sur le darknet.

Le problème commence dès l’embauche lorsqu’un candidat est recruté sans vérification suffisante de sa fiabilité. Un employé peu scrupuleux peut, une fois informé de son licenciement, voler des secrets d’affaires, transférer des fichiers stratégiques vers un concurrent ou supprimer des informations critiques pour nuire à l’entreprise. C’est ici que la fonction sécurité, y compris l’équipe en charge de la protection du système d’information, doit jouer un rôle dès le recrutement.

Un contrôle d’antécédents approfondi mené par le service compétent permet de vérifier diplômes, expériences précédentes, éventuels casiers judiciaires ou éléments problématiques susceptibles d’augmenter le risque pour l’organisation. L’objectif n’est pas de transformer chaque recrutement en enquête intrusive, mais de réduire la probabilité d’intégrer un futur acteur malveillant. En parallèle, la sensibilisation régulière des équipes aux enjeux de cybersécurité rappelle les obligations de confidentialité et l’impact d’un comportement déviant.

Le principe du moindre privilège sert de garde-fou permanent. En limitant les droits d’accès de chacun aux seules ressources nécessaires à ses missions, l’entreprise réduit mécaniquement le volume de données auxquelles un salarié peut accéder et potentiellement emporter au moment de son départ. Des sauvegardes robustes et une protection renforcée des fichiers critiques complètent ce dispositif en permettant de restaurer des informations effacées volontairement ou non, tout en limitant la capacité de nuisance d’un employé sur le départ.

Révocation des accès, shadow IT et angles morts du cloud

Le risque le plus immédiat au moment d’un licenciement réside dans la suppression tardive ou incomplète des droits d’accès. Un compte mail ou un identifiant applicatif laissés actifs quelques jours de trop peuvent suffire à exfiltrer une base de clients ou à détruire des données essentielles. Pire, un compte oublié peut être récupéré par un attaquant externe pour rebondir sur les systèmes internes et mener une intrusion plus large.

La difficulté vient du fait qu’il est souvent complexe de tracer précisément l’historique des autorisations accordées à un salarié, surtout lorsqu’il est en poste depuis des années ou qu’il détient des privilèges d’administration. Pour reprendre la main, des audits réguliers des droits permettent de cartographier les catégories d’accès, de repérer ceux devenus inutiles et d’identifier les entorses aux procédures validées. L’intervention de prestataires spécialisés, mandatés pour réaliser des évaluations de risques et structurer les processus de sécurité du système d’information, peut apporter un regard externe et une vision plus complète.

La mise en place de solutions de gestion des identités et des accès, ainsi que de technologies dédiées à la sécurité des identités, devient le socle technique de ce contrôle. En automatisant les workflows, l’entreprise peut révoquer les rôles associés à un collaborateur dans les 24 heures suivant un licenciement ou un changement de poste, tout en notifiant les responsables et en générant des journaux d’audit. Ce délai chiffré, 24 heures, fixe un objectif clair de réactivité et limite la période pendant laquelle un compte résiduel peut être exploité.

Mais un autre risque se glisse en périphérie de ces dispositifs : l’informatique parallèle, ou shadow IT. Utilisation d’outils non référencés, ouvertures de comptes personnels sur des services en ligne, adoption spontanée de plateformes cloud ou SaaS, autant de pratiques qui échappent aux mécanismes classiques d’Identity and Access Management. Tant que ces systèmes ne sont pas intégrés à l’annuaire d’entreprise, les départs de collaborateurs ne déclenchent pas automatiquement la suppression des comptes associés. L’accès persiste alors au-delà du dernier jour travaillé, parfois dans une opacité totale pour la DSI.

La menace ne se limite pas à la fuite de données : introduction de logiciels malveillants, perte de capacité de reprise après sinistre, incohérences dans les sauvegardes, autant de conséquences possibles. Pour retrouver de la visibilité, il est nécessaire de recourir à des outils de surveillance du trafic réseau et à des solutions d’analyse du comportement des utilisateurs et des entités (UEBA). En observant les schémas d’activité, ces technologies mettent en lumière les usages cachés, détectent les connexions inhabituelles à des services SaaS ou des comportements anormaux.

Parallèlement, établir et maintenir à jour un inventaire complet des plateformes cloud et SaaS utilisées dans l’organisation, avec le niveau d’accès associé à chaque catégorie de personnel, permet de réduire les angles morts. La gestion des droits d’accès à l’infrastructure cloud via des technologies de type CIEM offre une vision globale des permissions accumulées au fil du temps. Les administrateurs peuvent alors révoquer, nettoyer ou ajuster les droits d’un salarié en une seule opération lors de son départ, plutôt que de découvrir tardivement des accès résiduels exploités à mauvais escient.

Supports, téléchargements, ressentiment : le facteur humain sous tension

Au-delà des comptes et droits logiques, le licenciement pose la question des supports physiques et des canaux de transfert. Dans un contexte de télétravail et d’usage massif d’appareils personnels, les données peuvent se retrouver stockées localement sur des ordinateurs privés non chiffrés, sur des smartphones insuffisamment protégés ou transitant par des réseaux Wi-Fi domestiques vulnérables. Chaque copie échappant au contrôle de l’entreprise augmente le risque de fuite accidentelle ou d’exploitation malveillante ultérieure.

La première étape consiste à récupérer l’ensemble des matériels fournis au salarié sortant. Ordinateurs, smartphones, tablettes, mais aussi supports amovibles doivent être restitués, puis analysés si nécessaire. Dans le même temps, les accès réseau autorisés depuis des appareils personnels dans le cadre de politiques BYOD doivent être supprimés. Il s’agit d’éviter qu’un ancien collaborateur puisse encore se connecter depuis un terminal privé resté configuré.

Avant même l’annonce des licenciements, le durcissement temporaire des postes et des flux réduit la fenêtre de tir. Le blocage des ports USB, l’interdiction des envois vers des boîtes mail personnelles et le filtrage des sites de partage de fichiers limitent les téléchargements massifs de données sensibles. La désactivation de l’authentification unique empêche qu’un identifiant central compromis ouvre la porte à une multitude d’applications internes. La réinitialisation des mots de passe des comptes à privilèges, accompagnée d’une interdiction d’accès au compte principal de l’utilisateur, complètent ce verrouillage.

Les risques ne disparaissent toutefois pas au moment où le badge est rendu. Un salarié peut avoir emporté, volontairement ou non, du code qu’il a produit, des fichiers confidentiels, ou des bases clients. La mise à jour des contrôles d’accès physiques, notamment pour empêcher tout retour non autorisé dans les bureaux ou les centres de données, est une mesure complémentaire. Sur le plan logique, les outils de sécurité et les mécanismes d’analyse comportementale doivent continuer à surveiller l’activité liée au compte de l’ex-salarié pendant plusieurs semaines, afin de repérer une exploitation tardive de données déjà copiées.

Des audits rétrospectifs des journaux, des téléchargements et des échanges de courriels à partir de la date de démission permettent de reconstruire les opérations réalisées par la personne. La création et la conservation d’images forensiques de ses équipements professionnels pendant une période déterminée donnent aux enquêteurs la possibilité de revenir sur les faits si un incident est découvert ultérieurement. Cela ne repose pas sur des données nouvelles, mais sur l’exploitation systématique de traces déjà disponibles au sein du système d’information.

Enfin, le facteur psychologique ne doit pas être sous-estimé. Lorsqu’un employé est informé à l’avance de sa date de licenciement, le ressentiment peut se transformer en motivation à nuire, voire en comportement d’agent infiltré. Prévenu à l’avance, il dispose du temps nécessaire pour collecter progressivement des informations, exporter des bases de données ou photographier des documents. Des licenciements massifs peuvent aussi démoraliser les équipes restantes, générant de la négligence et donc de nouvelles vulnérabilités dans les usages quotidiens du système d’information.

Pour atténuer ces risques, les procédures de départ gagnent à être respectueuses et transparentes, avec des explications claires sur les raisons de la décision, indépendamment de l’ancienneté du salarié. Informer l’équipe des échéances et des projets à assurer, organiser des entretiens de sortie pour recueillir le ressenti, évaluer les risques de sécurité associés et rappeler les obligations de confidentialité, contribuent à réduire les tensions. Le maintien d’un contact minimal, voire l’intégration de l’ex-salarié dans un réseau d’anciens, peut limiter l’envie de monétiser des données internes et favorise une culture où la sécurité de l’information reste une responsabilité partagée, même après le départ.

En intégrant la sécurité à chaque étape du cycle de vie des employés, de l’embauche au licenciement, les organisations transforment un moment traditionnellement fragile en processus maîtrisé. Contrôles d’antécédents, moindre privilège, gestion industrialisée des identités, lutte contre le shadow IT, récupération systématique des supports, durcissement des canaux de téléchargement et prise en compte du facteur humain composent un ensemble cohérent. L’enjeu dépasse la simple conformité : il s’agit de protéger des actifs informationnels qui, comme le montrent les offres visibles sur le darknet, conservent une valeur marchande élevée longtemps après le départ d’un salarié. La vraie question pour les directions cybersécurité et les services de renseignement économique internes est donc claire : leurs procédures de licenciement sont-elles déjà conçues comme un dispositif de défense, ou restent-elles un angle mort exploitable pour les menaces internes et externes ?

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes.
S’abonner à la NewsLetter ZATAZ

Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber.

YouTube
LinkedIn
GNews
Autres
Communiqué de presse, Cybersécurité, double authentification, Mise à jour, Securite informatique

6 professionnels sur 10 voleraient des données en cas de départ de leur entreprise  

Une étude en dit beaucoup sur la gestion des accès et des identités au sein des entreprises : les confessions de professionnels mais aussi les difficultés rencontrées pour mettre en place des solutions IAM (Identity and Access Management) et PAM (Privileged Access Management) adaptées.

One Identity, une société spécialisée dans la gestion des identités et des accès (IAM), publie les résultats d’une étude menée de manière anonyme auprès de 200 participants à la célèbre conférence « sécurité » – la RSA conférence – sur leurs plus grands défis et préoccupations en matière de sécurité, ainsi que sur leurs comportements professionnels liés à l’accès au réseau et au système.

Et il semblerait que beaucoup de professionnels ne s’embarrassent pas toujours des protocoles et mesures de sécurité :

  • L’étude mené par One Identity révèle ainsi que près de 7 répondants sur 10 admettent qu’ils consulteraient des fichiers sensibles s’ils avaient un accès illimité aux données et aux systèmes.
  • Plus de 60% pensent qu’ils emmèneraient avec eux des données ou des informations sur l’entreprise s’ils partaient, sachant que personne ne le saurait.
  • De plus, ils sont également 60% à admettre avoir commis des actes répréhensibles dans leur milieu de travail. Ils sont par exemple près de 40% à avoir déjà partagé un mot de passe et près de 20% ont sacrifié des conseils en matière de sécurité afin d’obtenir rapidement des résultats.

Difficiles à mettre en œuvre, les solutions IAM/PAM ne sont toujours pas une priorité 

Les résultats de l’étude révèlent une hétérogénéité dans l’utilisation des solutions d’IAM et de PAM  au sein des entreprises : certaines estiment qu’il s’agit d’une priorité, d’autres les négligent, exposant potentiellement leur organisation à des atteintes à la protection des données et à d’autres cyber-risques.

Parmi les résultats les plus significatifs de l’enquête :

  • 1/3 des répondants affirment que la gestion des accès à privilèges (PAM) est la tâche opérationnelle la plus difficile en matière de sécurité.
  • Seulement 16 % des répondants citent la mise en œuvre de pratiques adéquates d’IAM comme l’une des trois principales préoccupations lorsqu’il s’agit de protéger le Cloud.
  • Par ailleurs, seulement 14 % des répondants affirment qu’un meilleur contrôle de l’accès des employés aurait un impact significatif sur la cybersécurité de leur entreprise.

Ces résultats démontrent que les entreprises ont du mal à mettre en œuvre des processus, des pratiques et des technologies adéquats en matière d’IAM et de PAM, et qu’elles négligent peut-être complètement l’impact de ces disciplines sur leurs dispositifs de sécurité.

 Pour les professionnels, 3 tâches particulièrement complexes remontent en matière de gestion des accès et identités : 1 répondant sur 4 explique ainsi  que le plus compliqué est de gérer les mots de passe des utilisateurs ; pour 1 sur 5 la tâche la plus complexe est la gestion du cycle de vie des utilisateurs (c.-à-d. le provisionnement et le dé provisionnement des utilisateurs), alors que ce sont deux des exigences fondamentales en matière de gestion des identités.

De plus, 1 répondant sur 4 affirme que l’Active Directory (AD) est le système le plus difficile à sécuriser pour l’entreprise. Cela est particulièrement préoccupant étant donné la prévalence de l’AD dans la plupart des organisations.

L’IAM dans le Cloud est complètement négligé

Lorsqu’il leur a été demandé de partager leurs trois principales préoccupations en matière de sécurisation du Cloud, près de 3 répondants sur 4 ont cité la perte de données. 44 % ont cité la menace externe, et 44% également ont cité la menace interne !  En revanche, seulement 16 % ont déclaré que la mise en œuvre de pratiques adéquates d’IAM était une préoccupation majeure. Ces résultats sont paradoxaux étant donné que les pratiques d’IAM – telles que le contrôle d’accès des utilisateurs basé sur des politiques et l’authentification multifactorielle – peuvent aider à atténuer à la fois les risques internes et externes liés à la cyber information.

David Earhart, Président et Directeur Général de One Identity déclare : « Rien de tel qu’un sondage anonyme pour découvrir quelques pratiques inavouées… et apprendre à mieux se protéger. Les résultats de notre étude montrent les pratiques en matière de gestion des accès – à privilèges notamment – et des identités sous un autre jour. Si l’on considère l’ensemble de la situation, les entreprises sont inutilement confrontées à des défis majeurs en ce qui concerne les tâches liées à l’IAM et au PAM, étant donné la technologie et les outils disponibles aujourd’hui. Notre espoir est que cette étude allume une étincelle pour que les organisations fassent un effort concerté pour relever ces défis et améliorer leurs stratégies et pratiques d’IAM et de PAM afin d’éviter les pièges cyber ».

Une étude réalisée lors d’un important rendez-vous cybersécurité américain. 200 personnes interrogées.

BYOD, Cloud, Entreprise

Sortir du brouillard : l’IAM depuis le Cloud (partie 2)

Un commentaire

Dans son article précédent, Kevin Cunningham de chez SailPOint a présenté la façon dont l’IAM peut aider à gérer les applications SaaS et les applications sur site (partie 1). Il est également important de comprendre comment les solutions IAM elles-mêmes peuvent être mises en œuvre « as-a-service ». L’adoption croissante des applications Cloud a ouvert la voie à l’IAM-as-a-service (IDaaS), une nouvelle approche capable d’accroitre l’agilité de l’entreprise, de générer plus rapidement de la valeur, tout en réduisant les coûts d’exploitation. Lire la partie 1/2

Le fait est que l’IAM a pris du retard par rapport à d’autres développements logiciels en mode SaaS en raison des problématiques liées à la sécurité et à la complexité de la gestion des applications sur site depuis le Cloud. Les entreprises ont ainsi besoin de peser les avantages et les inconvénients des deux modèles : « sur site » et « IDaaS », mais avec la disponibilité des solutions IDaaS qui répondent aux problématiques de sécurité, de disponibilité, d’évolutivité et de performance des entreprises qui souhaitent franchement aller dans le Cloud, ces dernières ont désormais une solution viable.

Est-ce que l’IDaaS est fait pour votre entreprise ?
Où est-ce que votre entreprise se place dans le spectre de l’IDaaS ? Pour vous aider à savoir si votre entreprise est prête pour l’IDaaS, voici 3 points clés pour évaluer vos besoins :

1) Est-ce que l’utilisation des technologies SaaS/Cloud est généralisée dans l’entreprise ?
Il s’agit de savoir si votre entreprise utilise le SaaS/Cloud et ce qu’elle en fait et si tel est le cas, de savoir si cela est une alternative efficace comparée aux applications sur site. Si la réponse est oui, alors l’IDaaS pourrait être une bonne option. Il y a toutefois des entreprises où cela n’est pas le cas, en particulier dans les secteurs fortement réglementés. Par contre, si l’entreprise observe une position prudente envers le SaaS ou les environnements système stratégiques, alors l’IDaaS n’est probablement pas le bon choix. Sachant que l’IAM est un élément clé de l’infrastructure critique, ce n’est probablement pas le bon moment d’opter pour le SaaS.

2) Est-ce que réduire les coûts de déploiement et de maintenance est plus important que la capacité à adopter une solution pour répondre à vos processus métier ?
De nombreuses entreprises disposent d’infrastructures et d’applications métier complexes, et leur préférence va pour une solution IAM adaptée et déployée sur site car elles peuvent configurer la solution qui correspond au mieux à leur processus de management des identités existants. Et tandis que l’IDaaS fournit des options de configuration, il ne dispose pas du niveau de complexité et de personnalisation, propre aux projets IAM. Il s’agit alors d’examiner si le compromis est la bonne solution – la simplicité de déploiement et un coût total de possession réduit dans la durée – ou une solution adaptée à vos besoins métier spécifiques. Si vous êtes prêts à faire l’impasse sur les processus d’identité existants pour vous conformer à une approche plus standardisée, alors l’IDaaS est peut être fait pour votre entreprise.

3) Est-ce que le mode SaaS devient un standard dans votre entreprise ?
Il a été prouvé que les applications SaaS offrent de nombreux avantages pour les cadres dirigeants, y compris le fait de générer plus rapidement de la valeur, une facilité d’utilisation, et une réduction des coûts d’exploitation et de maintenance. Grâce à ces nombreux avantages, nous commençons à voir des équipes IT chargées d’étudier la version SaaS chaque fois qu’elles évaluent et acquièrent un nouveau logiciel. Si c’est le cas avec l’IAM, assurez-vous d’évaluer de véritables offres SaaS qui fournissent la solution de bout-en-bout dont votre entreprise a besoin ; car bon nombre des solutions disponibles sont tout simplement une version hébergée d’une solution IAM sur site, qui ne fournit pas les avantages promis par le SaaS.

L’IAM joue un rôle essentiel dans les problématiques de sécurité et de conformité dans le Cloud en fournissant une approche centralisée et globale de la gestion des accès à toutes les applications de l’entreprise. Peu importe que vous déployiez une solution sur site ou as-a-service, l’IAM peut vous aider à vous assurer que votre entreprise dispose des bons contrôles en place, pour, en définitive, protéger les actifs et gérer les risques de l’entreprise.