Utilisateurs dormants avec privilèges

Un utilisateur dormant est un compte utilisateur qui est resté inactif (aucune connexion effectuée) pendant une période spécifiée (90 jours par défaut, personnalisable via une option).

Les utilisateurs dormants pourraient introduire les risques de sécurité et les complications opérationnelles suivants :

• Ce sont des cibles potentielles pour des attaquants si ces comptes disposent de mots de passe faibles ou inchangés, facilitant ainsi une compromission. Par exemple, une alerte CISA a signalé que :

Des campagnes ont également ciblé des comptes dormants appartenant à des utilisateurs qui ne travaillent plus dans une organisation victime mais dont les comptes sont toujours présents sur le système

• Une augmentation de la surface d'attaque de l'organisation en créant des vulnérabilités potentielles. Par exemple, la même alerte CISA a signalé que :

Suite à une réinitialisation de mot de passe appliquée à tous les utilisateurs lors d'un incident, des acteurs du SVR ont également été observés en train de se connecter à des comptes inactifs et de suivre des instructions pour réinitialiser le mot de passe. Cela a permis aux attaquants d'obtenir à nouveau un accès après des activités d'éviction en réponse à un incident.

• Accès accordé à des personnes qui n'en ont plus l'utilité (par exemple, d'anciens employés ou stagiaires n'ayant jamais utilisé ce compte).
• Gaspillage de ressources, et notamment de licences. L'identification, la désactivation ou la suppression régulière des utilisateurs dormants permet aux organisations d'optimiser l'allocation des ressources et d'éviter des coûts inutiles.

Tenez également compte de l'IoE connexe « Utilisateurs avec privilèges jamais utilisés » qui identifie tous les utilisateurs précréés mais qui n'ont jamais utilisés. Le risque est plus élevé pour les utilisateurs avec privilèges. Voir aussi l'IOE connexe, « Utilisateurs dormants sans privilèges », pour les utilisateurs non privilégiés.

Remarque : l'IOE s'appuie sur la propriété lastLogin, qui présente une limitation connue : Okta met à jour cette valeur uniquement lorsqu'un utilisateur accède au dashboard Okta. Par conséquent, les authentifications initiées par SP, par exemple lorsque des utilisateurs accèdent directement à une application et sont rapidement redirigés vers Okta pour s'authentifier, ne mettent pas à jour cette propriété. Pour cette raison, l'IOE peut signaler des faux positifs pour des utilisateurs qui n'ont jamais accédé au dashboard Okta mais qui se sont authentifiés avec succès auprès d'applications. Okta a documenté une solution alternative, mais celle-ci n'est actuellement pas compatible avec Tenable Identity Exposure. Par conséquent, ces faux positifs doivent être exclus manuellement.

Tenable recommande de vérifier régulièrement les utilisateurs dormants, en particulier ceux avec privilèges, et de les désactiver ou les supprimer. Après les avoir identifiés, prenez les mesures suivantes :

1. Désactivez les utilisateurs.
2. Attendez suffisamment longtemps, par exemple quelques mois, afin de garantir aucun impact involontaire.
3. Passé ce délai, si aucun problème n'est signalé et si la stratégie de sécurité des informations de l'organisation le permet, supprimez-les.

Nom: Utilisateurs dormants avec privilèges

Nom de code: DORMANT-PRIVILEGED-USER-OKTA

Sévérité: Medium

Type: Okta Indicator of Exposure