Utilisateurs avec privilèges jamais utilisés

Cet IoE ne peut pas fonctionner sans une licence Microsoft Entra ID P1 ou P2 en raison de restrictions de disponibilité des données imposées par Microsoft.

Un utilisateur jamais utilisé est un compte utilisateur créé dans Entra ID qui ne s'est jamais authentifié avec succès pendant un certain nombre de jours (90 jours par défaut, personnalisable) depuis sa création.

Ce type de compte utilisateur augmente la surface d'attaque pour diverses raisons, telles que :

• Un compte de porte dérobée autorise l'accès à des personnes qui n'en ont plus l'utilité (par exemple, d'anciens employés ou stagiaires).
• Le mot de passe par défaut continue d'être utilisé, exposant ainsi le compte à un risque de compromission potentiel plus élevé. Par exemple, une alerte CISA a signalé que :

  Des campagnes ont également ciblé des comptes dormants appartenant à des utilisateurs qui ne travaillent plus dans une organisation victime mais dont les comptes sont toujours présents sur le système

Et que :

Suite à une réinitialisation de mot de passe appliquée à tous les utilisateurs lors d'un incident, des acteurs du SVR ont également été observés en train de se connecter à des comptes inactifs et de suivre des instructions pour réinitialiser le mot de passe. Cela a permis aux attaquants d'obtenir à nouveau un accès après des activités d'éviction en réponse à un incident.

• Gaspillage de ressources, et notamment de licences. L'identification, la désactivation ou la suppression régulière des utilisateurs inutiles permet aux organisations d'optimiser l'allocation des ressources et d'éviter des coûts inutiles.

Tenez également compte de l'IoE connexe « Utilisateurs dormants » qui identifie tous les utilisateurs précédemment actifs qui sont devenus inactifs depuis. Le risque est plus élevé pour les utilisateurs avec privilèges. Voir aussi l'IoE connexe, « Utilisateurs sans privilèges jamais utilisés », pour les utilisateurs sans privilèges.

Remarque :

1. Cet IoE repose sur la propriété lastSuccessfulSignInDateTime au sein de la propriété signInActivity des objets Utilisateur. Elle présente l'avantage de ne signaler que les connexions réussies afin d'éviter les interruptions découlant des tentatives infructueuses, contrairement à la propriété lastSignInDateTime. La propriété lastSuccessfulSignInDateTime est devenue disponible en décembre 2023.
2. Pour accéder au type de ressource signInActivity, vous avez besoin d'une licence Microsoft Entra ID P1 ou P2 pour chaque tenant. Sinon, cet IoE ne peut pas détecter les utilisateurs jamais utilisés et ignore donc toute l'analyse.
3. Étant donné que cette propriété est vide pour les utilisateurs qui ne se sont jamais connectés ou se sont connectés pour la dernière fois avant décembre 2023, les données requises pour évaluer l'intervalle ne sont pas disponibles. Par conséquent, Tenable Identity Exposure ne peut pas détecter correctement la date de la dernière connexion, ce qui peut potentiellement conduire à des faux positifs.

Tenable vous recommande de vérifier régulièrement les utilisateurs jamais utilisés, en particulier ceux avec privilèges, et de les désactiver ou les supprimer. Après les avoir identifiés, prenez les mesures suivantes :

1. Désactivez-les.
2. Attendez quelques mois.
3. Passé ce délai, si aucun problème n'est signalé et si la stratégie de sécurité des informations de l'organisation le permet, supprimez-les.

Nom: Utilisateurs avec privilèges jamais utilisés

Nom de code: NEVER-USED-PRIVILEGED-USER

Sévérité: Medium

Type: Microsoft Entra ID Indicator of Exposure