- La majorité des incidents de sécurité documentés impliquent un accès non maîtrisé — comptes orphelins, droits excessifs ou identifiants compromis.
- Colonial Pipeline (2021) : le réseau de distribution pétrolier américain a été paralysé via un VPN d'un ancien employé dont le compte était resté actif des mois après son départ.
- Yahoo (2016) : la compromission de 3 milliards de comptes, révélée deux ans après les faits, illustre l'absence de détection des accès non autorisés persistants.
- Un accès non révoqué ou un compte avec des droits supérieurs à la fonction réelle constitue une surface d'attaque permanente, indépendamment de la qualité des autres contrôles.
- Les frameworks ISO 27001 (A.9), NIST SP 800-53 (AC-2) et la loi algérienne 18-07 positionnent tous la gestion des accès comme un contrôle fondamental de premier rang.
La gestion des accès et des autorisations est un domaine opérationnel qui, par sa transversalité, conditionne l'efficacité de l'ensemble des autres contrôles de sécurité. Un pare-feu correctement configuré, un SOC actif ou une politique de chiffrement robuste ne protègent pas un système accessible par des identifiants compromis ou des droits excessifs. C'est la raison pour laquelle les analyses post-incident classent systématiquement un contrôle d'accès défaillant parmi les vecteurs primaires des violations de données majeures.
Pour un RSSI ou un architecte sécurité, la gestion des accès recouvre plusieurs problématiques distinctes mais imbriquées : le cycle de vie des comptes (provisioning, modification, déprovisioning), la segmentation des droits (RBAC, ABAC, principe du moindre privilège), la gestion des comptes à privilèges (PAM), et la supervision des accès (logging, révision périodique). Aucun de ces sous-domaines ne peut être traité de façon isolée sans créer de failles dans les autres.
L'accès comme vecteur d'intrusion dominant
Les statistiques convergent sur un constat structurel : entre 70 et 80 % des incidents de sécurité documentés impliquent un accès mal maîtrisé, qu'il s'agisse d'identifiants volés, de comptes non désactivés ou de droits accordés sans revue formelle. Cette proportion n'a pas évolué significativement depuis dix ans, malgré la multiplication des solutions techniques disponibles. La cause principale est organisationnelle : les processus de gestion des accès sont rarement pilotés avec la même rigueur que les contrôles périmètriques.
La surface d'attaque liée aux accès croît mécaniquement avec la transformation numérique. Chaque nouvelle application, chaque intégration API, chaque environnement cloud crée de nouveaux comptes, de nouveaux rôles, de nouvelles permissions. Sans processus structuré de révision et de déprovisioning, l'accumulation de droits orphelins est rapide. Les auditeurs désignent ce phénomène sous le terme de privilege creep — une dérive progressive des droits qui échappe à tout contrôle manuel.
En septembre 2022, un attaquant de 18 ans a obtenu un accès complet aux systèmes internes d'Uber via une attaque en deux temps. Il a d'abord compromis un compte prestataire par MFA fatigue — en envoyant des dizaines de notifications d'authentification jusqu'à l'approbation par lassitude. Une fois dans le réseau, il a découvert des scripts PowerShell accessibles dans un partage réseau interne contenant des identifiants administrateurs en clair. Ces identifiants lui ont donné accès à des dizaines de systèmes critiques, incluant le gestionnaire de secrets, les environnements AWS et GCP, et les outils internes. L'incident a révélé l'absence de segmentation entre les accès prestataires et les ressources sensibles, ainsi qu'un stockage de secrets non sécurisé accessible à des comptes à droits limités.
Pourquoi le contrôle technique ne suffit pas
De nombreuses organisations déploient des solutions IAM, des outils PAM ou des annuaires LDAP robustes, tout en présentant des failles d'accès significatives. La raison est que la technologie résout le problème de l'exécution — elle ne résout pas le problème de la gouvernance. Un annuaire Active Directory parfaitement configuré ne garantit rien si le processus RH de notification des départs est manuel, tardif ou non suivi. Un outil PAM ne protège pas contre les comptes de service configurés avec des mots de passe permanents par un développeur il y a trois ans.
La gestion des accès efficace repose sur quatre processus organisationnels non négociables : un provisioning structuré avec validation métier et technique, un déprovisioning automatisé déclenché par les événements RH, une révision périodique des droits au moins trimestrielle pour les comptes sensibles, et un référentiel des rôles maintenu à jour. En l'absence de ces quatre processus, les outils techniques deviennent des couches supplémentaires de complexité sans réduction réelle du risque.
Cadre réglementaire en contexte algérien
La loi 18-07 relative à la protection des données personnelles impose des mesures techniques et organisationnelles appropriées pour protéger les données — ce qui inclut la limitation des accès aux personnes habilitées. La loi 25-11, qui structure la transition numérique nationale, renforce ces exigences pour les opérateurs de systèmes d'information critiques. Le RNSI détaille les mesures attendues en alignement avec ISO 27001. Pour les organisations algériennes, la gestion des accès n'est donc pas seulement une bonne pratique — c'est une obligation légale dont le non-respect engage la responsabilité des dirigeants.
En août 2021, T-Mobile a subi une violation exposant les données de plus de 50 millions de clients. L'attaquant a accédé aux systèmes via une API non sécurisée exposée en périphérie du réseau. Une fois l'accès établi, il a navigué latéralement vers des bases de données contenant numéros de sécurité sociale, dates de naissance et données de permis. L'enquête a révélé l'absence de segmentation entre l'API publique et les données de production, ainsi qu'un monitoring insuffisant des accès aux ressources sensibles.
La propagation de NotPetya dans l'infrastructure mondiale de Maersk a été rendue possible par l'absence de segmentation réseau et de contrôle des droits administrateurs locaux sur les postes Windows. Le malware a exploité les credentials en mémoire (pass-the-hash) pour se propager de machine en machine. L'ensemble du réseau informatique a été paralysé en moins d'une heure, forçant un rétablissement sur 45 000 postes et 4 000 serveurs. Les pertes ont été estimées à 300 millions de dollars, imputables pour une large part à une architecture d'accès sans moindre privilège.
La violation du groupe hospitalier SingHealth a exposé les données de 1,5 million de patients, dont les informations personnelles du Premier ministre singapourien. L'attaquant a maintenu un accès persistant non détecté pendant trois mois. La commission d'enquête gouvernementale a identifié un compte utilisateur compromis aux droits larges sur la base de données patients, une segmentation insuffisante entre systèmes cliniques et administratifs, et l'absence de monitoring des accès sensibles.