Infrastructure informatique oubliée : pire encore que le Shadow IT

Les pirates s’attaquent souvent à des comptes de test obsolètes et inutilisés, ou tombent par hasard sur des espaces de stockage cloud accessibles au public contenant des données stratégiques qui « ont pris la poussière ». Il arrive parfois qu’une attaque exploite une vulnérabilité dans un module d’application qui a été corrigé, par exemple, il y a deux ans. Un point commun ressort de ces rapports de violation : les attaques ont exploité des ressources obsolètes, qu’il s’agisse d’un service, d’un serveur ou d’un compte utilisateur… Des parties de l’infrastructure informatique de l’entreprise qui échappent parfois à l’attention des équipes informatiques et de sécurité. Elles deviennent, de fait, non gérées, inutiles et tout simplement délaissées. Ces zombies informatiques créent des risques pour la sécurité des informations et la conformité réglementaire, et entraînent des coûts opérationnels inutiles. Cela relève en général du Shadow IT, à ceci près : ces ressources ne sont ni recherchées, ni connues, ni utiles à quiconque.

Dans cet article, nous essayons d’identifier les ressources qui requièrent une attention immédiate, comment les identifier et quelle devrait être la réponse appropriée.

Serveurs physiques et virtuels

Priorité : haute. Les serveurs vulnérables constituent des points d’entrée pour les cyberattaques et continuent de consommer des ressources tout en créant des risques pour la conformité réglementaire.

Prévalence : élevée. Les serveurs physiques et virtuels sont souvent laissés à l’abandon dans les grandes infrastructures à la suite de projets de migration ou après des fusions et acquisitions. Les serveurs de test qui ne sont plus utilisés après la mise en service des projets informatiques, ainsi que les serveurs destinés à des projets obsolètes fonctionnant sans domaine, passent également souvent à la trappe. Les statistiques de Lets Encrypt illustrent l’ampleur du problème : en 2024, la moitié des demandes de renouvellement de domaine provenaient d’appareils qui n’étaient plus associés au domaine demandé. On dénombre environ un million de tels appareils dans le monde.

Détection : le service informatique doit mettre en œuvre un processus de Détection automatique et rapprochement des données (AD&R) qui combine les résultats de l’analyse du réseau et de l’inventaire du cloud avec les données de la base de données de gestion des configurations (CMDB). Il permet de détecter rapidement les informations obsolètes ou contradictoires concernant les équipements informatiques et aide à localiser les équipements oubliés.

Ces données doivent être complétées par des analyses de vulnérabilité externes couvrant toutes les adresses IP publiques de l’organisation.

Réponse : mettez en place un processus formel et documenté pour la mise hors service ou le retrait des serveurs. Ce processus doit inclure la vérification de la migration complète des données, puis la destruction contrôlée des données sur le serveur. Une fois ces étapes effectuées, le serveur peut être mis hors tension, recyclé ou réutilisé. Tant que toutes les procédures ne sont pas terminées, le serveur doit être déplacé vers un sous-réseau isolé et mis en quarantaine.

Pour atténuer ce problème dans les environnements de test, mettez en place un processus automatisé pour leur création et leur mise hors service. Un environnement de test doit être créé au début d’un projet et démantelé après une période déterminée ou après une certaine durée d’inactivité. Renforcez la sécurité des environnements de test en imposant leur isolement strict par rapport à l’environnement principal (production) et en interdisant l’utilisation de données commerciales réelles et non anonymisées lors des tests.

Comptes utilisateur, service et appareil oubliés

Priorité : critique. Les comptes inactifs et privilégiés sont des cibles de choix pour les pirates qui cherchent à s’implanter durablement dans un réseau ou à étendre leur accès au sein d’une infrastructure.

Prévalence : très élevée. Les comptes de service technique, les comptes de sous-traitants et les comptes non personnalisés font partie des comptes les plus souvent oubliés.

Détection : procédez à une analyse régulière du répertoire des utilisateurs (Active Directory dans la plupart des organisations) afin d’identifier tous les types de comptes qui n’ont enregistré aucune activité au cours d’une période définie (un mois, un trimestre ou une année). Parallèlement, il est conseillé de vérifier les autorisations attribuées à chaque compte et de supprimer toute attribution excessive ou inutile.

Réponse : après consultation du responsable du service concerné ou du supérieur hiérarchique de l’employé, les comptes obsolètes doivent simplement être désactivés ou supprimés. Un système complet de gestion des identités et des accès (IAM) offre une solution évolutive à ce problème. Dans ce système, la création, la suppression et l’attribution d’autorisations pour les comptes sont étroitement intégrées aux processus RH.

Pour les comptes de service, il est également essentiel de vérifier régulièrement la robustesse des mots de passe et les dates d’expiration des jetons d’accès, en les modifiant si nécessaire.

Stockages de données oubliés

Priorité : critique. Le mauvais contrôle des données dans les bases de données accessibles depuis l’extérieur, le stockage dans le cloud, les corbeilles et les services de partage de fichiers d’entreprise, même ceux dits « sécurisés », a été une source majeure de violations importantes en 2024-2025. Les données divulguées dans ces fuites comprennent souvent des scans de documents, des dossiers médicaux et des informations personnelles. Par conséquent, ces incidents de sécurité entraînent également des sanctions pour non-respect des réglementations, comme la loi HIPAA, le RGPD et d’autres cadres de protection des données qui régissent le traitement des données personnelles et confidentielles.

Prévalence : élevée. Les données d’archives, les copies de données détenues par des sous-traitants, les anciennes versions de bases de données issues de migrations de systèmes précédentes : dans de nombreuses organisations, toutes ces données restent souvent inutilisées et accessibles pendant des années (voire des décennies).

Détection : compte tenu de la grande diversité des types de données et du stockage, une combinaison d’outils est essentielle pour la découverte :

• Sous-systèmes d’audit natifs au sein des principales plateformes fournisseurs, comme AWS Macie et Microsoft Purview
• Solutions spécialisées de Data Discovery et de gestion de la sécurité des données
• Analyse automatique des journaux d’inventaire, par exemple S3 Inventory

Malheureusement, l’utilité de ces outils est limitée si un sous-traitant crée une banque de données au sein de sa propre infrastructure. Pour contrôler cette situation, il faut prévoir des clauses contractuelles accordant à l’équipe de sécurité de l’organisation l’accès aux espaces de stockage concernés des sous-traitants, ainsi que des services de Threat Intelligence capables de détecter tout ensemble de données publiquement divulgué ou volé et associé à la marque de l’entreprise.

Réponse : analysez les journaux d’accès et intégrez le stockage découvert dans vos outils DLP et CASB afin de surveiller son utilisation ou de confirmer qu’il est réellement abandonné. Utilisez les outils disponibles pour isoler de manière sécurisée l’accès au stockage. Si nécessaire, créez une sauvegarde sécurisée, puis supprimez les données. Au niveau de la stratégie organisationnelle, il est essentiel de définir des durées de conservation pour différents types de données, en imposant leur archivage automatique et leur suppression à l’expiration. Les stratégies doivent également définir des procédures pour l’enregistrement des nouveaux systèmes de stockage et interdire explicitement l’existence de données sans propriétaire et accessibles sans restrictions, mots de passe ou chiffrement.

Applications et services non utilisés sur les serveurs

Priorité : moyenne. Les vulnérabilités de ces services augmentent le risque de cyberattaques réussies, compliquent les efforts de correction et gaspillent les ressources.

Prévalence : très élevée. Les services sont souvent activés par défaut lors de l’installation du serveur, restent actifs après les tests et la configuration, et continuent de fonctionner longtemps après que le processus métier qu’ils soutenaient soit devenu obsolète.

Détection : par des audits réguliers des configurations logicielles. Pour garantir l’efficacité des audits, les serveurs doivent respecter un modèle d’accès basé sur les rôles, chaque rôle de serveur disposant d’une liste correspondante des logiciels requis. Outre la base CMDB, un large éventail d’outils facilite cet audit : des outils tels que OpenSCAP et Lynis, axés sur la conformité aux stratégies et le renforcement des systèmes ; des outils polyvalents, tels que OSQuery ; des scanners de vulnérabilité tels que OpenVAS ; et des analyseurs de trafic réseau.

Réponse : effectuez un examen régulier des fonctions du serveur avec les responsables commerciaux. Toutes les applications ou tous les services inutiles en cours d’exécution doivent être désactivés. Pour minimiser ces incidents, appliquez le principe du moindre privilège à l’échelle de l’organisation et déployez des images de base ou des modèles de serveur renforcés pour les configurations de serveur standard. Cette mesure garantit qu’aucun logiciel superflu n’est installé ni activé par défaut.

API obsolètes

Priorité : haute. Les API sont fréquemment exploitées par les pirates pour exfiltrer de grands volumes de données sensibles et obtenir un accès initial à l’organisation. En 2024, le nombre d’attaques liées aux API a augmenté de 41 %, les pirates ciblant spécifiquement les API obsolètes, car celles-ci fournissent souvent des données avec moins de contrôles et de restrictions. En témoigne la fuite de 200 millions d’enregistrements sur X/Twitter.

Prévalence : élevée. Lorsqu’un service passe à une nouvelle version d’API, l’ancienne version reste souvent opérationnelle pendant une période prolongée, notamment si elle est encore utilisée par des clients ou des partenaires. Ces versions obsolètes ne sont généralement plus prises en charge, si bien que les failles de sécurité et les vulnérabilités de leurs composants ne sont pas corrigées.

Détection : au niveau WAF ou NGFW, il est essentiel de surveiller le trafic vers des API particulières. Cette mesure permet de détecter les anomalies pouvant indiquer une exploitation ou une exfiltration de données, mais aussi d’identifier les API qui génèrent un trafic minimal.

Réponse : pour les API à faible activité identifiées, collaborez avec les parties prenantes de l’entreprise pour élaborer un plan de désaffectation et migrez les éventuels utilisateurs restants vers les versions plus récentes.

Pour les organisations disposant d’un large éventail de services, le meilleur moyen de relever ce défi consiste à utiliser une plateforme de gestion des API associée à une stratégie de cycle de vie des API officiellement approuvée. Cette stratégie doit inclure des critères bien définis pour la dépréciation et le retrait des interfaces logicielles obsolètes.

Logiciel avec des dépendances et des bibliothèques obsolètes

Priorité : haute. C’est là que se cachent les vulnérabilités critiques à grande échelle, comme Log4Shell, qui compromettent les organisations et posent des problèmes de conformité réglementaire.

Prévalence : très élevée. En particulier dans les systèmes de gestion d’entreprise à grande échelle, les systèmes d’automatisation de l’industrie et les logiciels sur mesure.

Détection : utilisez une combinaison de systèmes de gestion des vulnérabilités (VM/CTEM) et d’outils d’analyse de la composition logicielle (SCA). Pour le développement en interne, il est obligatoire d’utiliser des analyseurs et des systèmes de sécurité complets intégrés dans le pipeline CI/CD afin d’éviter que les logiciels ne soient développés avec des modules obsolètes.

Réponse : les stratégies de l’entreprise doivent exiger des équipes informatiques et de développement qu’elles mettent systématiquement à jour les dépendances logicielles. Lors du développement d’un logiciel interne, l’analyse des dépendances doit faire partie intégrante du processus de révision du code. Pour les logiciels tiers, il est essentiel de vérifier régulièrement l’état et l’ancienneté des dépendances.

Pour les fournisseurs de logiciels externes, la mise à jour des dépendances devrait être une exigence contractuelle ayant une incidence sur les délais d’assistance et les budgets des projets. Pour rendre ces exigences réalisables, il est essentiel de maintenir à jour une nomenclature logicielle (SBOM).

Pour en savoir plus sur la correction rapide et efficace des vulnérabilités, consultez notre article de blog dédié.

Sites oubliés

Priorité : moyenne. Les ressources Web oubliées peuvent être exploitées par des pirates informatiques à des fins de phishing, d’hébergement de programmes malveillants ou d’escroqueries sous le nom de l’organisation, ce qui nuit à sa réputation. Dans les cas les plus graves, cette situation peut entraîner des atteintes à la sécurité des données ou servir de tremplin à des attaques contre l’entreprise concernée. Un sous-ensemble de ce problème concerne les domaines oubliés qui ont été utilisés pour des activités uniques, qui ont expiré et n’ont pas été renouvelés, ce qui les rend disponibles à l’achat.

Prévalence : élevée. En particulier pour les sites lancés dans le cadre de campagnes à court terme ou d’activités internes ponctuelles.

Détection : le service informatique doit tenir un registre centralisé de tous les sites Internet et domaines publics, et vérifier l’état de chacun d’entre eux auprès de leurs propriétaires tous les mois ou tous les trimestres. En outre, des analyseurs ou la surveillance DNS peuvent être utilisés pour surveiller les domaines associés à l’infrastructure informatique de l’entreprise. Une autre couche de protection est fournie par les services de Threat Intelligence, qui peuvent détecter de manière indépendante tous les sites Internet associés à la marque de l’organisation.

Réponse : définissez une stratégie pour la fermeture programmée du site Internet à l’issue d’une période déterminée suivant la fin de son utilisation active. Mettez en place un système automatisé d’enregistrement et de renouvellement DNS afin d’éviter toute perte de contrôle sur les domaines de l’entreprise.

Appareils réseau non utilisés

Priorité : haute. Les routeurs, pare-feu, caméras de surveillance et périphériques de stockage réseau qui sont connectés mais non gérés et non mis à jour offrent une base idéale pour lancer des attaques. Ces appareils oubliés présentent souvent des vulnérabilités et ne font presque jamais l’objet d’une surveillance adéquate (aucune intégration EDR ou SIEM). Pourtant, ils occupent une position privilégiée dans le réseau, offrant aux pirates informatiques une porte d’entrée facile pour intensifier leurs attaques contre les serveurs et les postes de travail.

Prévalence : moyenne. Les appareils sont abandonnés lors des déménagements de bureaux, des mises à niveau de l’infrastructure réseau ou de la mise en place d’espaces de travail temporaires.

Détection : utilisez les mêmes outils d’inventaire réseau que ceux mentionnés dans la section consacrée aux serveurs oubliés, ainsi que des audits physiques réguliers pour comparer les analyses réseau avec ce qui est réellement connecté. L’analyse active du réseau permet de détecter des segments de réseau non suivis et des connexions externes inattendues.

Réponse : les appareils sans propriétaire peuvent généralement être déconnectés immédiatement. Mais attention : leur nettoyage nécessite le même soin que celui des serveurs, afin d’éviter toute fuite d’informations concernant les paramètres réseau, les mots de passe, les vidéos de bureau, etc.