Comptes dormants : l’IA ferme la porte aux intrusions

168 mots de passe en moyenne par personne : c’est l’ordre de grandeur qui circule le plus souvent quand on parle de “vie numérique” moderne. Et ce chiffre a une conséquence très concrète en cybersécurité : plus vous accumulez de comptes, plus vous accumulez de portes d’entrée. Le problème, ce ne sont pas seulement les comptes que vous utilisez tous les jours. Ce sont surtout ceux que vous avez oubliés.

Les comptes dormants (ou inactive accounts) sont l’un des angles morts les plus sous-estimés, côté particuliers comme côté entreprises. Ils combinent exactement ce que recherchent les attaquants : mots de passe anciens, absence de MFA/2FA, surveillance minimale, et parfois… des accès qui n’auraient jamais dû rester actifs.

Dans cette série “Intelligence artificielle dans la cybersécurité”, j’aime revenir sur un principe simple : l’IA n’est pas là pour “faire de la magie”, elle est là pour industrialiser l’hygiène. Sur les comptes dormants, elle peut faire une différence nette : repérer l’inutilisé, détecter l’anormal, et accélérer la fermeture des portes.

Pourquoi les comptes dormants sont un risque… surtout en entreprise

Un compte dormant est une cible plus facile qu’un compte actif. Point. Il est souvent protégé avec des identifiants réutilisés, parfois issus d’anciennes fuites de données, et il est moins susceptible d’avoir une authentification forte.

Les attaquants ne “hackent” pas toujours au sens hollywoodien du terme. Ils font du recyclage : ils récupèrent des identifiants volés (via malware voleur d’infos, fuites de données, achats sur des places de marché clandestines), puis tentent leur chance à grande échelle. C’est l’attaque par credential stuffing : automatisée, rapide, et rentable.

Côté entreprise, l’impact change d’échelle. Un compte dormant peut :

• rester membre d’un groupe AD/Entra ID trop permissif,
• conserver un accès VPN “au cas où”,
• être lié à une API key jamais renouvelée,
• appartenir à un prestataire parti depuis 18 mois.

Un compte inactif n’est pas “inoffensif”. C’est un accès non surveillé qui attend d’être réutilisé — par la mauvaise personne.

Et l’histoire récente l’a montré : plusieurs incidents majeurs ont démarré par une identité négligée (VPN, comptes de service, comptes utilisateurs). Dans la pratique, ce n’est pas l’attaque la plus sophistiquée qui gagne, c’est celle qui trouve le chemin le plus court.

Comment les cybercriminels prennent le contrôle (ATO) des comptes oubliés

L’Account Takeover (ATO) est une stratégie : obtenir le contrôle d’un compte existant, plutôt que de casser une défense complexe. Les comptes dormants sont parfaits parce qu’ils sont rarement “défendus activement”.

Les techniques les plus fréquentes

1. Malware voleurs d’identifiants (infostealers) : ils aspirent mots de passe enregistrés, cookies de session, jetons d’authentification, données navigateur.
2. Fuites de données : bases email/mot de passe qui finissent réutilisées pendant des années.
3. Credential stuffing : test automatisé de couples identifiants/mots de passe sur des services populaires.
4. Brute force : essais par force brute (moins “rentable” aujourd’hui, mais encore utilisé sur des services mal configurés).

Les conséquences (particulier vs organisation)

Pour un particulier, l’attaquant peut :

• envoyer des arnaques à vos contacts via une ancienne boîte mail ou un réseau social,
• fouiller l’historique et les données personnelles (adresse, date de naissance, documents),
• exploiter des moyens de paiement enregistrés (même si beaucoup expirent, certains restent valides),
• revendre un compte “ayant de la valeur” (fidélité, miles, gaming, marketplaces).

Pour une organisation, les scénarios les plus coûteux sont souvent :

• déplacement latéral (rebond de compte en compte),
• exfiltration de données (clients, RH, finances),
• rançongiciel après élévation de privilèges,
• fraude (modification de RIB, faux fournisseurs, compromission de messagerie).

Là où l’IA change la donne : détecter l’inactif, l’anormal et le dangereux

L’IA ne “supprime” pas vos comptes à votre place. Elle fait mieux : elle met en évidence les identités qui ne devraient plus exister, et elle détecte les comportements qui ne collent pas au profil attendu.

1) Découvrir la “surface d’identité” réelle (account sprawl)

La plupart des entreprises n’ont pas un inventaire parfait de leurs identités. Entre SaaS, comptes locaux, comptes de service, comptes API, identités partenaires, comptes test… on perd vite la maîtrise.

Les approches IA (souvent via UEBA/ITDR, ou des modules d’analyse dans IAM/IdP) aident à :

• corréler des comptes dispersés (même utilisateur, mêmes attributs, mêmes terminaux),
• repérer des comptes sans activité (30/60/90 jours selon politique),
• détecter des identités orphelines (manager absent, département inconnu, contrat terminé).

Ce que j’ai constaté sur le terrain : l’étape la plus dure n’est pas de désactiver, c’est de savoir quoi désactiver sans casser un processus métier. L’IA peut réduire ce risque en classant et en priorisant.

2) Prioriser intelligemment : inactif ≠ risque égal

Un compte dormant sur un forum ne vaut pas un compte dormant donnant accès à un CRM ou à une console cloud. Un modèle de scoring (assisté par IA) peut classer les comptes selon :

• niveau de privilège (admin, accès production),
• exposition (accessible depuis Internet, VPN, SSO),
• sensibilité des données accessibles,
• présence/absence de MFA,
• historique de fuites associées à l’adresse,
• proximité avec des systèmes critiques.

Résultat : on traite d’abord les 10% de comptes qui portent 90% du risque.

3) Détecter l’usage anormal d’un compte “mort”

Un compte inactif qui se connecte soudainement est un signal fort. L’IA excelle à repérer :

• connexions hors horaires habituels,
• pays/ASN improbables,
• “impossible travel” (deux connexions incompatibles dans le temps),
• changement rapide de paramètres (mail de récupération, MFA, règles de transfert),
• enchaînement d’échecs puis succès (pattern d’attaque),
• création de jetons OAuth ou d’API keys après connexion.

Le point clé : on ne cherche pas seulement une “signature” connue, on cherche une rupture de comportement.

Un plan de “grand ménage” réaliste (et automatisable)

Nettoyer ses comptes une fois par an est une bonne base. En décembre, c’est d’ailleurs le moment parfait : clôture budgétaire, rotation d’équipes, bilan annuel… et souvent une baisse d’activité qui facilite les opérations.

Pour les particuliers : 30 minutes qui réduisent le risque

• Recherchez dans votre boîte mail des termes du type : “Bienvenue”, “Vérification”, “Essai gratuit”, “Confirmez votre compte”.
• Supprimez les comptes inutiles (et vérifiez, quand c’est possible, que la suppression inclut bien les données).
• Mettez à jour les mots de passe des comptes que vous gardez : unique, long, stocké dans un gestionnaire.
• Activez le MFA/2FA partout où c’est proposé.
• Faites le ménage dans les mots de passe enregistrés dans le navigateur : gardez ce qui est utile, supprimez le reste.

Pour les organisations : une politique simple, puis de l’automatisation

Politique recommandée (exemple concret)

1. 30 jours sans activité : notification et revalidation (propriétaire/manager).
2. 60 jours : bascule en “suspension” (désactivation réversible).
3. 90 jours : suppression/rotation (ou justification documentée si compte de service).

Automatisations efficaces (là où l’IA aide vraiment)

• détection des comptes sans activité + création automatique de tickets,
• relances au manager avec escalade si pas de réponse,
• désactivation contrôlée avec fenêtre de restauration,
• identification des comptes de service “dormants” et rotation des secrets,
• contrôle continu MFA : alerte si un compte privilégié n’a pas MFA.

Une bonne stratégie : “désactiver vite, supprimer plus lentement”. On réduit le risque immédiatement, tout en gardant un filet de sécurité opérationnel.

Questions fréquentes (et réponses utiles)

“Un compte dormant, c’est grave si je n’y ai rien d’important ?”

Oui, parce que l’attaquant peut s’en servir comme tremplin : usurpation d’identité, arnaques à vos contacts, récupération d’infos réutilisables ailleurs.

“On a déjà un SSO, donc on est tranquilles ?”

Non. Le SSO réduit la multiplication des mots de passe, mais il augmente la criticité de l’identité centrale. Et il reste des comptes hors SSO : SaaS isolés, comptes locaux, API keys, comptes de service.

“L’IA va supprimer des comptes à tort ?”

Si elle est mal gouvernée, oui. La bonne approche : IA pour détecter et prioriser, automatisation pour proposer, et validation humaine (ou règles strictes) pour exécuter sur les comptes sensibles.

Fermer la porte, maintenant — et durablement

Les comptes dormants sont un risque simple à comprendre et pénible à traiter manuellement. C’est justement pour ça qu’ils restent ouverts trop longtemps. La bonne nouvelle, c’est que l’IA appliquée à la gestion des identités (détection d’anomalies, scoring de risque, classification des comptes) permet de transformer un chantier annuel en contrôle continu.

Si vous ne devez faire qu’une chose cette semaine : identifiez vos comptes inactifs les plus sensibles (messagerie, cloud, VPN, outils métiers) et imposez MFA + désactivation au-delà d’un seuil clair. Ensuite seulement, industrialisez avec des outils capables d’apprendre les usages normaux et de signaler les écarts.

Le vrai sujet, ce n’est pas d’avoir “zéro compte dormant”. C’est de s’assurer qu’aucun compte dormant ne puisse redevenir actif… sans que vous le sachiez. Vous voulez que votre prochaine alerte sur une connexion suspecte arrive avant l’attaquant — pas après.