{"id":23508,"date":"2026-01-08T15:23:34","date_gmt":"2026-01-08T13:23:34","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23508"},"modified":"2026-01-12T14:17:21","modified_gmt":"2026-01-12T12:17:21","slug":"forsaken-servers-apis-apps-accounts-find-and-protect","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/forsaken-servers-apis-apps-accounts-find-and-protect\/23508\/","title":{"rendered":"Infrastructure informatique oubli\u00e9e : pire encore que le Shadow IT"},"content":{"rendered":"

Les pirates s\u2019attaquent souvent \u00e0 des comptes de test obsol\u00e8tes et inutilis\u00e9s<\/a>, ou tombent par hasard sur des espaces de stockage cloud accessibles au public contenant des donn\u00e9es strat\u00e9giques qui \u00ab\u00a0ont pris la poussi\u00e8re\u00a0\u00bb<\/a>. Il arrive parfois qu\u2019une attaque exploite une vuln\u00e9rabilit\u00e9 dans un module d\u2019application qui a \u00e9t\u00e9 corrig\u00e9, par exemple, il y a deux ans<\/a>. Un point commun ressort de ces rapports de violation\u00a0: les attaques ont exploit\u00e9 des ressources obsol\u00e8tes, qu\u2019il s\u2019agisse d\u2019un service, d\u2019un serveur ou d\u2019un compte utilisateur\u2026 Des parties de l\u2019infrastructure informatique de l\u2019entreprise qui \u00e9chappent parfois \u00e0 l\u2019attention des \u00e9quipes informatiques et de s\u00e9curit\u00e9. Elles deviennent, de fait, non g\u00e9r\u00e9es, inutiles et tout simplement d\u00e9laiss\u00e9es. Ces zombies informatiques cr\u00e9ent des risques pour la s\u00e9curit\u00e9 des informations et la conformit\u00e9 r\u00e9glementaire, et entra\u00eenent des co\u00fbts op\u00e9rationnels inutiles. Cela rel\u00e8ve en g\u00e9n\u00e9ral du Shadow IT, \u00e0 ceci pr\u00e8s\u00a0: ces ressources ne sont ni recherch\u00e9es, ni connues, ni utiles \u00e0 quiconque.<\/p>\n

Dans cet article, nous essayons d\u2019identifier les ressources qui requi\u00e8rent une attention imm\u00e9diate, comment les identifier et quelle devrait \u00eatre la r\u00e9ponse appropri\u00e9e.<\/p>\n

Serveurs physiques et virtuels<\/h2>\n

Priorit\u00e9\u00a0: haute.<\/strong> Les serveurs vuln\u00e9rables constituent des points d\u2019entr\u00e9e pour les cyberattaques et continuent de consommer des ressources tout en cr\u00e9ant des risques pour la conformit\u00e9 r\u00e9glementaire.<\/p>\n

Pr\u00e9valence\u00a0:<\/strong> \u00e9lev\u00e9e<\/strong>. Les serveurs physiques et virtuels sont souvent laiss\u00e9s \u00e0 l\u2019abandon dans les grandes infrastructures \u00e0 la suite de projets de migration ou apr\u00e8s des fusions et acquisitions. Les serveurs de test qui ne sont plus utilis\u00e9s apr\u00e8s la mise en service des projets informatiques, ainsi que les serveurs destin\u00e9s \u00e0 des projets obsol\u00e8tes fonctionnant sans domaine, passent \u00e9galement souvent \u00e0 la trappe. Les statistiques de Lets Encrypt<\/a> illustrent l\u2019ampleur du probl\u00e8me\u00a0: en 2024, la moiti\u00e9 des demandes de renouvellement de domaine provenaient d\u2019appareils qui n\u2019\u00e9taient plus associ\u00e9s au domaine demand\u00e9. On d\u00e9nombre environ un million de tels appareils dans le monde.<\/p>\n

D\u00e9tection\u00a0: <\/strong>le service informatique doit mettre en \u0153uvre un processus de D\u00e9tection automatique et rapprochement des donn\u00e9es (AD&R) qui combine les r\u00e9sultats de l\u2019analyse du r\u00e9seau et de l\u2019inventaire du cloud avec les donn\u00e9es de la base de donn\u00e9es de gestion des configurations (CMDB). Il permet de d\u00e9tecter rapidement les informations obsol\u00e8tes ou contradictoires concernant les \u00e9quipements informatiques et aide \u00e0 localiser les \u00e9quipements oubli\u00e9s.<\/p>\n

Ces donn\u00e9es doivent \u00eatre compl\u00e9t\u00e9es par des analyses de vuln\u00e9rabilit\u00e9 externes couvrant toutes les adresses IP publiques de l\u2019organisation.<\/p>\n

R\u00e9ponse\u00a0:<\/strong> mettez en place un processus formel et document\u00e9 pour la mise hors service ou le retrait des serveurs. Ce processus doit inclure la v\u00e9rification de la migration compl\u00e8te des donn\u00e9es, puis la destruction contr\u00f4l\u00e9e des donn\u00e9es sur le serveur. Une fois ces \u00e9tapes effectu\u00e9es, le serveur peut \u00eatre mis hors tension, recycl\u00e9 ou r\u00e9utilis\u00e9. Tant que toutes les proc\u00e9dures ne sont pas termin\u00e9es, le serveur doit \u00eatre d\u00e9plac\u00e9 vers un sous-r\u00e9seau isol\u00e9 et mis en quarantaine.<\/p>\n

Pour att\u00e9nuer ce probl\u00e8me dans les environnements de test, mettez en place un processus automatis\u00e9 pour leur cr\u00e9ation et leur mise hors service. Un environnement de test doit \u00eatre cr\u00e9\u00e9 au d\u00e9but d\u2019un projet et d\u00e9mantel\u00e9 apr\u00e8s une p\u00e9riode d\u00e9termin\u00e9e ou apr\u00e8s une certaine dur\u00e9e d\u2019inactivit\u00e9. Renforcez la s\u00e9curit\u00e9 des environnements de test en imposant leur isolement strict par rapport \u00e0 l\u2019environnement principal (production) et en interdisant l\u2019utilisation de donn\u00e9es commerciales r\u00e9elles et non anonymis\u00e9es lors des tests.<\/p>\n

Comptes utilisateur, service et appareil oubli\u00e9s<\/h2>\n

Priorit\u00e9\u00a0: critique.<\/strong> Les comptes inactifs et privil\u00e9gi\u00e9s sont des cibles de choix pour les pirates qui cherchent \u00e0 s\u2019implanter durablement dans un r\u00e9seau ou \u00e0 \u00e9tendre leur acc\u00e8s au sein d\u2019une infrastructure.<\/p>\n

Pr\u00e9valence\u00a0:<\/strong> tr\u00e8s \u00e9lev\u00e9e.<\/strong> Les comptes de service technique, les comptes de sous-traitants et les comptes non personnalis\u00e9s font partie des comptes les plus souvent oubli\u00e9s.<\/p>\n

D\u00e9tection\u00a0:<\/strong> proc\u00e9dez \u00e0 une analyse r\u00e9guli\u00e8re du r\u00e9pertoire des utilisateurs (Active Directory dans la plupart des organisations) afin d\u2019identifier tous les types de comptes qui n\u2019ont enregistr\u00e9 aucune activit\u00e9 au cours d\u2019une p\u00e9riode d\u00e9finie (un mois, un trimestre ou une ann\u00e9e). Parall\u00e8lement, il est conseill\u00e9 de v\u00e9rifier les autorisations attribu\u00e9es \u00e0 chaque compte et de supprimer toute attribution excessive ou inutile.<\/p>\n

R\u00e9ponse\u00a0:<\/strong> apr\u00e8s consultation du responsable du service concern\u00e9 ou du sup\u00e9rieur hi\u00e9rarchique de l\u2019employ\u00e9, les comptes obsol\u00e8tes doivent simplement \u00eatre d\u00e9sactiv\u00e9s ou supprim\u00e9s. Un syst\u00e8me complet de gestion des identit\u00e9s et des acc\u00e8s (IAM)<\/a> offre une solution \u00e9volutive \u00e0 ce probl\u00e8me. Dans ce syst\u00e8me, la cr\u00e9ation, la suppression et l\u2019attribution d\u2019autorisations pour les comptes sont \u00e9troitement int\u00e9gr\u00e9es aux processus RH.<\/p>\n

Pour les comptes de service, il est \u00e9galement essentiel de v\u00e9rifier r\u00e9guli\u00e8rement la robustesse des mots de passe et les dates d\u2019expiration des jetons d\u2019acc\u00e8s, en les modifiant si n\u00e9cessaire.<\/p>\n

Stockages de donn\u00e9es oubli\u00e9s<\/h2>\n

Priorit\u00e9\u00a0: critique.<\/strong> Le mauvais contr\u00f4le des donn\u00e9es dans les bases de donn\u00e9es accessibles depuis l\u2019ext\u00e9rieur, le stockage dans le cloud, les corbeilles<\/a> et les services de partage de fichiers d\u2019entreprise<\/a>, m\u00eame ceux dits \u00ab\u00a0s\u00e9curis\u00e9s\u00a0\u00bb, a \u00e9t\u00e9 une source majeure de violations importantes en 2024-2025. Les donn\u00e9es divulgu\u00e9es dans ces fuites comprennent souvent des scans de documents, des dossiers m\u00e9dicaux et des informations personnelles. Par cons\u00e9quent, ces incidents de s\u00e9curit\u00e9 entra\u00eenent \u00e9galement des sanctions pour non-respect des r\u00e9glementations, comme la loi HIPAA, le RGPD et d\u2019autres cadres de protection des donn\u00e9es qui r\u00e9gissent le traitement des donn\u00e9es personnelles et confidentielles.<\/p>\n

Pr\u00e9valence\u00a0:<\/strong> \u00e9lev\u00e9e<\/strong>. Les donn\u00e9es d\u2019archives, les copies de donn\u00e9es d\u00e9tenues par des sous-traitants, les anciennes versions de bases de donn\u00e9es issues de migrations de syst\u00e8mes pr\u00e9c\u00e9dentes\u00a0: dans de nombreuses organisations, toutes ces donn\u00e9es restent souvent inutilis\u00e9es et accessibles pendant des ann\u00e9es (voire des d\u00e9cennies).<\/p>\n

D\u00e9tection\u00a0:<\/strong> compte tenu de la grande diversit\u00e9 des types de donn\u00e9es et du stockage, une combinaison d\u2019outils est essentielle pour la d\u00e9couverte\u00a0:<\/p>\n