Le problème : les identités laissées pour compte
À mesure que les organisations grandissent et évoluent, les employés, les sous-traitants, les services et les systèmes vont et viennent, mais leurs comptes demeurent souvent. Ces comptes abandonnés ou « orphelins » restent inactifs sur les applications, plateformes, actifs et consoles cloud.
La raison pour laquelle ils persistent n’est pas la négligence : c’est la fragmentation.
Les systèmes IAM et IGA traditionnels sont conçus principalement pour les utilisateurs humains et reposent sur une intégration et une intégration manuelles pour chaque application : connecteurs, mappage de schémas, catalogues de droits et modèles de rôle. De nombreuses applications n’arrivent jamais aussi loin. Pendant ce temps, les identités non humaines (NHI) – comptes de service, robots, API et processus d’agent-IA – ne sont pas gouvernées de manière native, fonctionnent en dehors des cadres IAM standard et souvent sans contrôle de propriété, de visibilité ou de cycle de vie.
Le résultat ? Une couche d’ombre d’identités non suivies qui font partie de la matière noire identitaire plus large : des comptes invisibles pour la gouvernance mais toujours actifs dans l’infrastructure.
Pourquoi ne sont-ils pas suivis ?
- Goulots d'étranglement d'intégration : Chaque application nécessite une configuration unique avant qu'IAM puisse la gérer. Les systèmes locaux et non gérés sont rarement prioritaires.
- Visibilité partielle : Les outils IAM ne voient que la partie « gérée » de l'identité, laissant derrière eux les comptes d'administrateur local, les identités de service et les systèmes existants.
- Propriété complexe : Le roulement de personnel, les fusions et la répartition des équipes font qu'il est difficile de savoir qui possède quelle application ou quel compte.
- Agents d'IA et d'automatisation : Agent-AI introduit une nouvelle catégorie d'identités semi-autonomes qui agissent indépendamment de leurs opérateurs humains, brisant encore davantage le modèle IAM.
Apprenez-en davantage sur les raccourcis IAM et les impacts qui les accompagnent.
Risque du monde réel
Les comptes orphelins sont les portes dérobées ouvertes de l'entreprise.
Ils disposent d’informations d’identification valides, souvent dotées de privilèges élevés, mais n’ont pas de propriétaire actif. Les attaquants le savent et les utilisent.
- Pipeline colonial (2021) – les assaillants sont entrés par un compte VPN ancien/inactif sans MFA. Plusieurs sources corroborent les détails du compte « inactif/ancien ».
- Entreprise manufacturière touchée par le ransomware Akira (2025) – l'infraction s'est produite par le biais d'un Compte fournisseur tiers « fantôme » qui n'a pas été désactivé (c'est-à-dire un compte orphelin/fournisseur). Rapport SOC XDR géré par Barracuda.
- Contexte des fusions et acquisitions – lors de la consolidation post-acquisition, il est courant de découvrir des milliers de comptes/tokens obsolètes ; Les entreprises considèrent les identités orphelines (souvent NHI) comme une menace persistante après les fusions et acquisitions, citant des taux très élevés de jetons d'anciens employés encore actifs.
Les comptes orphelins génèrent de multiples risques :
- Exposition à la conformité : Viole les exigences de moindre privilège et de déprovisionnement (ISO 27001, NIS2, PCI DSS, FedRAMP).
- Inefficacité opérationnelle : Nombre de licences gonflé et dépenses d’audit inutiles.
- Traînée de réponse aux incidents : Les analyses judiciaires et les mesures correctives ralentissent lorsqu'il s'agit de comptes invisibles.
La voie à suivre : l’audit d’identité continu
Les entreprises ont besoin de preuves, pas d’hypothèses. La suppression des comptes orphelins nécessite une observabilité complète de l'identité – la possibilité d'afficher et de vérifier chaque compte, autorisation et activité, qu'ils soient gérés ou non.
L’atténuation moderne comprend :
- Collecte de télémétrie d'identité : extrayez les signaux d'activité directement à partir des applications, gérées et non gérées.
- Piste d'audit unifiée : corrélez les événements d'intégration, d'emménagement et de sortie, les enregistrements d'authentification et les données d'utilisation pour confirmer la propriété et la légitimité.
- Cartographie du contexte de rôle : archivez les informations d'utilisation réelles et le contexte des privilèges dans des profils d'identité, indiquant qui a utilisé quoi, quand et pourquoi.
- Application continue : signalez ou désactivez automatiquement les comptes sans activité ni propriété, réduisant ainsi les risques sans attendre des examens manuels.
Lorsque cette télémétrie alimente une couche centrale d’audit d’identité, elle comble le manque de visibilité, transformant les comptes orphelins de passifs cachés en entités gérées et mesurables.
Pour plus d’informations, consultez la page Audit Playbook : Rapports d’inventaire continu des applications.
Le point de vue des orchidées
La capacité d'audit d'identité d'Orchid constitue cette base. En combinant la télémétrie au niveau des applications avec la collecte d'audits automatisés, il fournit des informations continues et vérifiables sur la manière dont les identités (humaines, non humaines et agents IA) sont réellement utilisées.
Il ne s'agit pas d'un autre système IAM ; C’est le tissu conjonctif qui garantit que les décisions en matière d’IAM sont fondées sur des preuves et non sur des estimations.
Note: Cet article a été rédigé et contribué par Roy Katmor, PDG d'Orchid Security.
