Utilisateurs dormants sans privilèges

Cet IoE ne peut pas fonctionner sans une licence Microsoft Entra ID P1 ou P2 en raison de restrictions de disponibilité des données imposées par Microsoft.

Un utilisateur dormant est un compte utilisateur qui est resté inactif (aucune connexion réussie) pendant une période spécifiée (90 jours par défaut, personnalisable via une option).

Les utilisateurs dormants pourraient introduire les risques de sécurité et les complications opérationnelles suivants :

• Ce sont des cibles potentielles pour des attaquants si ces comptes disposent de mots de passe faibles ou inchangés, facilitant ainsi une compromission. Par exemple, une alerte CISA a signalé que :

Des campagnes ont également ciblé des comptes dormants appartenant à des utilisateurs qui ne travaillent plus dans une organisation victime mais dont les comptes sont toujours présents sur le système

• Une augmentation de la surface d'attaque du tenant Entra en créant des vulnérabilités potentielles. Par exemple, la même alerte CISA a signalé que :

Suite à une réinitialisation de mot de passe appliquée à tous les utilisateurs lors d'un incident, des acteurs du SVR ont également été observés en train de se connecter à des comptes inactifs et de suivre des instructions pour réinitialiser le mot de passe. Cela a permis aux attaquants d'obtenir à nouveau un accès après des activités d'éviction en réponse à un incident.

• Accès accordé à des personnes qui n'en ont plus l'utilité, comme d'anciens employés ou stagiaires.
• Gaspillage de ressources, et notamment de licences. L'identification, la désactivation ou la suppression régulière des utilisateurs dormants permet aux organisations d'optimiser l'allocation des ressources et d'éviter des coûts inutiles.

Tenez également compte de l'IoE connexe « Utilisateurs sans privilèges jamais utilisés » qui identifie tous les utilisateurs précréés mais qui n'ont jamais utilisés. Voir aussi l'IoE connexe, « Utilisateurs dormants avec privilèges », pour les utilisateurs avec privilèges.

Remarque :

1. Cet IoE repose sur la propriété lastSuccessfulSignInDateTime au sein de la propriété signInActivity des objets Utilisateur. Elle présente l'avantage de ne signaler que les connexions réussies afin d'éviter les interruptions découlant des tentatives infructueuses, contrairement à la propriété lastSignInDateTime. La propriété lastSuccessfulSignInDateTime est devenue disponible en décembre 2023.
2. Pour accéder au type de ressource signInActivity, vous avez besoin d'une licence Microsoft Entra ID P1 ou P2 pour chaque tenant. Sinon, cet IoE ne peut pas détecter les utilisateurs dormants et ignore donc toute l'analyse.
3. Étant donné que cette propriété est vide pour les utilisateurs qui ne se sont jamais connectés ou se sont connectés pour la dernière fois avant décembre 2023, les données requises pour évaluer l'intervalle ne sont pas disponibles. Par conséquent, Tenable Identity Exposure ne peut pas détecter correctement la date de la dernière connexion, ce qui peut potentiellement conduire à des faux positifs.

Tenable vous recommande de vérifier régulièrement les utilisateurs dormants et de les désactiver ou les supprimer. Après les avoir identifiés, prenez les mesures suivantes :

1. Désactivez-les.
2. Attendez quelques mois.
3. Passé ce délai, si aucun problème n'est signalé et si la stratégie de sécurité des informations de l'organisation le permet, supprimez-les.

Nom: Utilisateurs dormants sans privilèges

Nom de code: DORMANT-NON-PRIVILEGED-USER

Sévérité: Low

Type: Microsoft Entra ID Indicator of Exposure