Dans l’univers feutré des systèmes d’information, les menaces les plus visibles ne sont pas toujours les plus dangereuses. Derrière les attaques par ransomware ou les compromissions de comptes privilégiés se cache une catégorie de risques moins médiatisée, mais redoutablement efficace : l’accès clandestin. Il ne s’agit ni d’un piratage externe ni d’un oubli grossier, mais d’un phénomène interne, souvent invisible, qui contourne les processus de gouvernance des droits d’accès. Et c’est précisément ce qui le rend si pernicieux.
« L’accès est valide, l’utilisateur identifié, mais personne ne sait pourquoi il l’a. »
Contrairement au compte orphelin, qui n’est plus lié à un utilisateur actif (souvent à la suite d’un départ non révoqué), l’accès clandestin est attribué à une personne bien réelle, toujours en poste, mais sans justification formelle. Il peut s’agir d’un accès hérité d’un ancien poste, ajouté manuellement par un administrateur, accordé en dehors du circuit standard de validation, ou laissé volontairement hors radar dans une logique de contournement. Dans tous les cas, cet accès échappe à la gouvernance. Et par conséquent, au contrôle.
Dans une organisation structurée, la gestion des accès suit un chemin balisé : demande d’un utilisateur ou de son manager, approbation par le propriétaire d’application, mise en œuvre automatisée via un annuaire ou un outil de provisioning, puis revue régulière. Le système idéal. Mais entre théorie et réalité, il y a l’humain, les urgences, les raccourcis opérationnels et, parfois, la complaisance.
C’est ainsi qu’émergent des « poches » d’accès non documentés, non validés, ou non révoqués. Ce sont souvent des habilitations ajoutées en direct dans un annuaire, des partages de répertoire entre équipes, des comptes créés dans des applications SaaS sans supervision centrale, ou même des droits conservés sur des outils critiques après une réorganisation interne. Individuellement, ces écarts paraissent bénins. Collectivement, ils forment un terrain d’attaque.
« Ce que vous ne voyez pas peut pourtant ouvrir toutes les portes. »
Les attaquants l’ont bien compris. Ils n’ont pas besoin de casser une porte blindée si une fenêtre reste ouverte. L’exploitation d’un accès non surveillé, même limité, permet souvent un rebond vers d’autres systèmes, l’exfiltration de données ou l’élévation de privilèges. Ce fut notamment le cas lors de l’incident Snowflake en 2024 : des comptes clients avaient conservé des accès anciens, parfois jamais réévalués, et c’est précisément cette absence de gouvernance qui a permis aux attaquants de s’infiltrer.
Détecter un accès clandestin n’est pas simple. Il ne s’agit pas d’un compte abandonné ou d’une activité malveillante évidente. Il faut croiser les sources : comparer les droits accordés à ceux demandés, analyser les écarts entre profils similaires, identifier les accès sans approbation traçable, ou repérer des connexions à des systèmes sans justification métier. Cette détection s’appuie à la fois sur des indicateurs statiques (absence de workflow, comptes non liés à une fiche RH) et dynamiques (analyse comportementale, détection d’usage atypique).
Les outils modernes d’IGA (Identity Governance and Administration) intègrent justement ces capacités. En plus du provisioning classique, ils embarquent des mécanismes de certification périodique des droits (access review), des workflows de modification avec journalisation des approbations, et parfois même des modules d’analyse comportementale comparant les usages entre collaborateurs d’un même métier. Des moteurs d’alertes signalent les écarts, et certains outils vont jusqu’à proposer une remédiation automatique ou semi-automatisée.
« Un droit d’accès n’est jamais neutre. Il est une permission d’agir — ou de nuire. »
La gravité d’un accès clandestin dépend du système concerné. Dans un outil bureautique ou une plateforme de communication interne, le risque est généralement modéré. Mais dans un ERP, un outil de gestion des identités, une base de données contenant des données sensibles, ou un annuaire d’entreprise, ces accès deviennent des menaces majeures. Dans ces cas-là, l’identification d’un droit non conforme doit entraîner une suspension immédiate, voire un blocage total en attendant clarification.
Ce phénomène prend une autre ampleur dans le contexte réglementaire. Le principe de moindre privilège est au cœur de nombreuses normes : SOX impose des contrôles stricts sur les systèmes impactant la production de rapports financiers, PCI DSS impose la limitation des droits dans les environnements de paiement, et la directive NIS2 renforce les exigences sur les habilitations dans les opérateurs de services essentiels. Un audit découvrant des accès sans justification est toujours un signal faible — voire un facteur de non-conformité.
Et c’est là que le bât blesse. Car si le shadow IT a longtemps été identifié comme un problème d’outillage ou de sécurité réseau, on oublie souvent que le shadow IT des accès est un sujet en soi. Une application peut être référencée, sécurisée, mise à jour… mais si les habilitations ne sont pas maîtrisées, elle reste vulnérable. Et l’absence d’un processus clair d’attribution, de modification et de révocation ouvre une brèche que ni firewall ni EDR ne peuvent combler.
« L’accès n’est pas qu’un droit technique. C’est une délégation de confiance. »
La prévention passe par une approche structurée : audit initial des droits, implémentation d’un outil d’IGA ou au minimum d’un processus formalisé de revue, cartographie des applications critiques avec leurs propriétaires, et limitation stricte des interventions manuelles dans les systèmes d’habilitation. L’objectif n’est pas le contrôle pour le contrôle, mais la transparence : savoir qui a quoi, pourquoi, jusqu’à quand.
Certaines entreprises vont plus loin et appliquent une gouvernance orientée risque : elles classent les applications en niveaux critiques, et adaptent les mécanismes de validation et de revue à ce classement. Les droits sur un outil RH ou une GED interne ne sont pas gérés avec la même rigueur que ceux sur l’outil comptable ou le VPN d’administration. Ce modèle permet d’alléger les processus là où les risques sont faibles, tout en durcissant le contrôle là où l’impact est maximal.
Reste enfin la dimension humaine. L’accès clandestin est souvent le résultat d’un compromis entre rapidité et procédure. Un manager pressé demande un accès « en urgence », un technicien le donne sans passer par le circuit, et la correction ne vient jamais. Or la sécurité, pour être efficace, doit être perçue comme un appui, pas comme un obstacle. Cela passe par la pédagogie, la fluidité des processus, et la capacité à répondre vite — mais proprement.
En résumé, l’accès clandestin n’est pas un concept théorique ou une anomalie rare. C’est un phénomène fréquent, sournois, et dangereux. Il ne fait pas de bruit, ne déclenche pas d’alerte, mais il affaiblit en silence les défenses de l’organisation.
Et comme toujours en cybersécurité, ce qu’on ne voit pas… finit par nous rattraper.
