Cycle de vie complet des identités numériques, du recrutement au départ
L'enjeu
La gestion des identités détermine qui peut accéder aux systèmes d'information et avec quels droits. Un compte utilisateur créé sans validation formelle, un compte d'employé parti qui reste actif des mois après son départ, des identités techniques partagées par plusieurs administrateurs, ou des comptes créés en urgence sans traçabilité créent des failles de sécurité majeures. Un attaquant qui récupère les identifiants d'un ancien employé dont le compte n'a pas été désactivé accède légitimement aux systèmes sans déclencher d'alerte. La gestion rigoureuse des identités garantit que seules les personnes légitimes disposent d'un accès, et uniquement tant qu'elles en ont besoin.
Qu'est-ce que la gestion des identités ?
La gestion des identités (Identity Management ou IAM) est l'ensemble des processus et outils qui permettent de créer, modifier, suspendre et supprimer les comptes utilisateurs tout au long de leur cycle de vie dans l'organisation. L'ISO 27002 mesure 5.16 recommande quatre contrôles principaux :
- Processus de création d'identité : créer des comptes uniquement sur demande validée, avec attribution d'un identifiant unique
- Gestion du cycle de vie : adapter les droits d'accès lors des changements de fonction, absences, retours, et désactiver immédiatement lors des départs
- Revue régulière des comptes : auditer périodiquement tous les comptes actifs pour identifier et supprimer les comptes obsolètes ou anormaux
- Identification unique et personnelle : chaque utilisateur dispose d'un identifiant unique personnel, interdiction des comptes partagés
Ces contrôles visent à garantir que chaque accès est associé à une personne identifiable et responsable, et que les accès ne persistent pas au-delà du besoin légitime.
Le cycle de vie d'une identité
Phase 1 : Création (onboarding)
Déclencheur : arrivée d'un nouvel employé, embauche d'un prestataire, changement de fonction nécessitant de nouveaux accès.
Processus : le manager ou les RH soumettent une demande formelle de création de compte (via ticket, formulaire validé). L'IT vérifie l'approbation, crée le compte avec un identifiant unique (prénom.nom ou matricule), attribue les droits d'accès selon la fonction (principe du moindre privilège), génère un mot de passe temporaire transmis de manière sécurisée.
Règle fondamentale : aucun compte ne doit être créé sans validation formelle traçable. Les créations "orales" ou "en urgence sans ticket" créent des comptes fantômes impossibles à auditer.
Phase 2 : Gestion active (modifications)
Changement de fonction : l'employé change de service ou de responsabilités. Ses droits d'accès doivent être revus : retirer les accès devenus inutiles, ajouter les nouveaux accès nécessaires. Ne jamais accumuler les droits : un employé qui passe de la finance au marketing ne doit plus avoir accès aux systèmes financiers.
Absence prolongée : congé maternité, arrêt maladie longue durée, congé sabbatique. Suspendre le compte pendant la durée de l'absence, réactiver au retour. Empêche l'utilisation malveillante du compte pendant l'absence.
Changement de statut : passage de stagiaire à CDI, d'externe à interne. Adapter les droits selon le nouveau statut.
Phase 3 : Désactivation (offboarding)
Départ définitif : démission, licenciement, fin de contrat, départ à la retraite. Le compte doit être désactivé immédiatement le jour du départ, avant même que la personne ne quitte physiquement les locaux.
Processus : les RH notifient l'IT du départ (idéalement plusieurs jours à l'avance), l'IT prépare la désactivation à exécuter le jour J, le compte est désactivé mais conservé quelques semaines pour permettre le transfert de données si nécessaire, après la période de conservation, le compte est définitivement supprimé.
Urgence : en cas de départ immédiat (licenciement pour faute), la désactivation doit être exécutée dans l'heure. Coordination étroite RH-IT obligatoire.
Phase 4 : Suppression définitive
Après une période de rétention (généralement 3 à 6 mois), les comptes désactivés sont définitivement supprimés de tous les systèmes. Les données associées au compte (emails, fichiers personnels) sont archivées ou supprimées selon la politique de rétention.
Identifiants uniques et comptes nominatifs
Un identifiant unique par personne
Chaque utilisateur reçoit un identifiant unique qui l'identifie de manière non ambiguë : pré[email protected], matricule (123456), ou convention normalisée (pnom pour Pierre Nom). Cet identifiant permet de tracer toutes les actions de l'utilisateur.
Interdiction des comptes partagés
Comptes génériques interdits : jamais de compte "admin", "compta", "commercial", "support" utilisé par plusieurs personnes. Impossible de tracer qui a fait quoi, aucune responsabilité individuelle, propagation incontrôlée des identifiants.
Exception très limitée : comptes techniques pour applications (compte_backup, compte_monitoring) avec mots de passe complexes stockés dans un coffre-fort numérique et journalisation renforcée de toutes les actions. Ces comptes ne doivent jamais servir pour des connexions humaines normales.
Identifiants de service vs utilisateurs
Distinguer clairement les comptes utilisateurs (personnes physiques) des comptes de service (applications, processus automatisés). Les comptes de service ont des règles différentes (pas de changement de mot de passe régulier, pas d'authentification multi-facteurs, mais journalisation stricte).
Processus de validation et d'approbation
Création sur demande formelle
Toute création de compte nécessite une demande écrite (ticket, formulaire) approuvée par une personne habilitée (manager direct, responsable RH). Le demandeur spécifie : nom et prénom de l'utilisateur, fonction et service, date de début, droits d'accès nécessaires (systèmes, applications, groupes de sécurité), durée (CDI, CDD avec date de fin).
Matrice d'approbation
Définir qui peut approuver quels types de demandes : comptes standards : validation du manager direct suffit, comptes à privilèges (administrateurs) : validation du manager + responsable sécurité, comptes externes (prestataires, consultants) : validation du manager + direction, accès aux données sensibles : validation du propriétaire des données.
Traçabilité complète
Conserver toutes les demandes de création, modification et suppression de comptes dans un système de ticketing. Permet de justifier lors d'audits pourquoi tel compte existe avec tels droits, de retracer qui a approuvé la création, d'identifier les comptes créés sans validation.
Revue régulière des comptes
Audits trimestriels
Tous les trimestres, générer la liste complète de tous les comptes actifs et la soumettre aux managers pour validation. Chaque manager vérifie que les comptes de son équipe sont légitimes et à jour. Identifier et supprimer : comptes d'employés partis non désactivés, comptes créés pour un besoin temporaire jamais supprimés, comptes techniques orphelins (application désinstallée mais compte toujours actif), comptes avec des droits excessifs non justifiés.
Comptes dormants
Identifier automatiquement les comptes qui ne se sont pas connectés depuis plusieurs mois (seuil : 90 jours). Ces comptes dormants doivent être investigués : l'employé est-il toujours dans l'entreprise ? En arrêt longue durée ? Parti sans notification ? Désactiver les comptes dormants après investigation, les supprimer après 6 mois d'inactivité confirmée.
Comptes à privilèges
Les comptes administrateurs nécessitent une attention particulière : revue mensuelle (plus fréquente que les comptes standards), vérification que chaque compte admin a une justification métier, audit des actions réalisées avec ces comptes privilégiés, révocation immédiate si le besoin n'existe plus.
Tableau décisionnel
| Type de compte | Processus de création | Validation requise | Revue périodique | Désactivation au départ |
|---|---|---|---|---|
| Compte utilisateur standard | Ticket + validation manager | Manager direct | Trimestrielle | Immédiate (jour du départ) |
| Compte administrateur | Ticket + validation renforcée | Manager + responsable sécurité | Mensuelle | Immédiate + audit des actions |
| Compte prestataire externe | Contrat + ticket + validation | Manager + direction | Mensuelle + fin de contrat | Automatique à fin de contrat + immédiate si besoin |
| Compte de service (technique) | Documentation + validation technique | Responsable technique + sécurité | Trimestrielle | À la fin du projet ou décommissionnement |
Automatisation et systèmes IAM
Outils de gestion des identités
Les systèmes IAM (Identity and Access Management) automatisent le cycle de vie : provisioning automatique : création du compte dans tous les systèmes nécessaires dès validation de la demande, dé-provisioning automatique : désactivation synchronisée dans tous les systèmes lors du départ, workflows d'approbation : routage automatique des demandes vers les approbateurs appropriés, reporting et conformité : tableaux de bord temps réel sur les comptes actifs, alertes sur les anomalies.
Intégration RH
Connecter le système IAM au SIRH (système d'information RH) pour automatiser : création de compte au moment de l'embauche (trigger sur nouveau matricule dans le SIRH), désactivation déclenchée par la date de fin de contrat enregistrée dans le SIRH, mise à jour automatique lors de changements de fonction enregistrés dans le SIRH.
Bénéfice majeur : élimine les oublis de désactivation (la date de fin dans le SIRH déclenche automatiquement la désactivation), garantit la réactivité (pas de délai entre le départ RH et l'action IT).
Annuaires centralisés
Utiliser un annuaire centralisé (Active Directory, LDAP, Azure AD) comme source unique d'identité. Tous les systèmes et applications s'authentifient contre cet annuaire. Créer un compte dans l'annuaire donne automatiquement accès à tous les systèmes configurés, désactiver le compte dans l'annuaire révoque instantanément tous les accès.
Cas particuliers et exceptions
Comptes d'urgence
Maintenir quelques comptes d'urgence (break glass accounts) pour accéder aux systèmes critiques si l'annuaire central est indisponible. Ces comptes ont des mots de passe ultra-complexes stockés dans un coffre-fort physique scellé, toute utilisation déclenche des alertes immédiates, audit complet après chaque utilisation.
Comptes de test
Les comptes créés pour les tests doivent être clairement identifiables (préfixe TEST_), avoir une durée de vie limitée (suppression automatique après 30 jours), ne jamais avoir accès à des données de production réelles.
Sous-traitants et prestataires
Les prestataires externes reçoivent des comptes temporaires liés à la durée du contrat. Date de fin obligatoire dans la demande de création, désactivation automatique à la date de fin du contrat, prolongation nécessitant une nouvelle validation formelle.
Points d'attention
- Comptes d'anciens employés actifs : ne pas désactiver les comptes au départ est la faille la plus fréquente. Processus automatisé RH-IT obligatoire.
- Comptes partagés tolérés : accepter des comptes "admin", "support" ou "compta" partagés par plusieurs personnes élimine toute traçabilité. Un identifiant unique par personne sans exception.
- Pas de revue des comptes : sans audit régulier, les comptes s'accumulent indéfiniment. Revue trimestrielle obligatoire avec les managers.
- Création sans validation : créer des comptes "en urgence" sans ticket ni approbation crée des comptes fantômes. Aucune exception au processus de validation.
En résumé
La gestion des identités contrôle le cycle de vie complet des comptes utilisateurs : création sur demande validée avec identifiant unique, gestion active avec adaptation des droits lors des changements de fonction, désactivation immédiate au départ, et suppression définitive après période de rétention.
L'interdiction stricte des comptes partagés garantit la traçabilité individuelle de toutes les actions. Les revues régulières (trimestrielles pour comptes standards, mensuelles pour administrateurs) permettent d'identifier et supprimer les comptes obsolètes ou dormants. L'automatisation via systèmes IAM intégrés au SIRH élimine les oublis de désactivation et garantit la réactivité.
