Dans cet article je vais attirer votre attention sur quelque chose qui est souvent oublié et qui n’est pas considéré comme une pratique à risque. Je vais aborder le sujet des comptes utilisateurs oubliés sur des applications (web, routeur, serveur, etc.) qui sont laissés actif alors que le propriétaire a quitté l’entreprise et ne doit plus avoir accès à ces applications.
Une fois n’est pas coutume on va parler du stagiaire, mais aussi des anciens collaborateurs qui partent pour diverses raisons.
Quels comptes sont concernés ?
Eh bien pour faire simple tous les comptes que ce soit des accès à l’interface de la banque au site Internet de l’entreprise, au routeur, aux serveurs de données, au CRM, ERP, etc. Même les accès wifi ! (mais je ferais un article plus précis sur les bonnes pratiques au départ d’un collaborateur),
Les trois grandes raisons de départs
On a trois grands cas de départs en entreprise :
- fin de stage
- départ volontaire
- départ forcé (licenciement, démission, etc.)
Dans ces trois cas la personne qui part peut partir dans de mauvaises conditions, friction fortes avec la hiérarchie ou encore avec les collègues. Surtout dans le cas N°3. Il n’est donc pas à exclure que cette personne puisse avoir de mauvaises intentions.
A cela vous pouvez rajouter l’oublie grossier de supprimer les comptes de l’ancien prestataire. Cela arrive souvent que l’on récupère un site ou l’on découvre qui reste actif les comptes des précédents prestataires avec des droits bien souvent d’administrateurs. Il va en aller de même pour les serveurs ou la VOIP si vous changez de prestataire et que vous conservez vos équipements.
Les mauvaises intentions du collaborateur
Bon admettons, mais que peut faire un ancien collaborateur avec un accès à des sites, des organes de l’infrastructure ou des logiciels de la société ? Il peut les utiliser pour mener à bien des actions de sabotage pour se venger (suppression de données, falsification de données, etc.), ou encore venir voler des données qu’il n’aurait pas pu avoir depuis son départ.
Concrètement tenir à jour de son côté la liste des clients de l’entreprise, suivre les négociations commerciales en cours, cela dans le but de voler le marché ou de vous le faire perdre. Mais il peut faire pire que cela encore…
Il peut vendre ces accès au plus offrant ou même à plusieurs personnes. Principalement à vos concurrents, selon les informations en sa possession ou plutôt que l’on peut obtenir avec ces accès. Eh bien sûr il peut aussi les vendre à des pirates qui se chargeront sans soucis de voler des données pour les revendre.
Ces pirates peuvent aussi mener des attaques contre vous directement via des ransomwares ou autres virus. C’est facile, car vous vous méfiez peu ou pas des sites que vous avez créés et encore moins d’applications (web ou non) que vous utilisez au quotidien.
C’est vrai pour les interfaces de blog, de CRM, de routeur, les logiciels métier et bien d’autres...
Piratage par ricochet
Vous pourrez aussi, sans la moindre mauvaise volonté du collaborateur qui est parti, être victime d’un piratage par ricochet. Bien souvent les gens utilisent les mêmes accès pour leurs boîtes e-mail ou autres partout même au travail et leur e-mail personnel.
Si on revient sur les dernières grosses fuites de données tel que linkedin, myspace, ou dropbox, rien n’interdit à un pirate d’essayer de se connecter à vos applications avec des logins oubliés qui ne sont pas mis à jour et que personne n’a eu l’idée de modifier suite à une annonce de piratage…
On se retrouve après comme Mark Zuckerberg et son compte Twitter piraté avec son super mot de passe « dadada ».
Pour conclure, les bonnes pratiques
- Dès qu’un collaborateur quel qu’il soit part de l’entreprise il faut détruire ces accès ou à minima changer les mots de passe de ces derniers.
- Si on récupère une gestion d’un autre prestataire on supprime bien évidemment ces accès, car il n’a plus de lien contractuel avec votre client. (il en va de soi pour les éventuelles accès FTP etc)
- On change aussi les accès génériques lors du départ d’un collaborateur. Accès aux serveurs de fichiers etc.
Crédit photo : Designed by Freepik