Parce que… c’est l’épisode 0x685!

Shameless plug

• 25 et 26 février 2026 - SéQCure 2026
  • CfP
• 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026
• 14 au 17 avril 2026 - Botconf 2026
• 28 et 29 avril 2026 - Cybereco Cyberconférence 2026
• 9 au 17 mai 2026 - NorthSec 2026
• 3 au 5 juin 2026 - SSTIC 2026
• 19 septembre 2026 - Bsides Montréal

Description

Introduction

Dans cet épisode spécial PME du podcast PoSécure, l’équipe composée de Dominique Derrier, Nicolas Milot, Cyndie Feltz et Julien Teste-Harnois aborde un sujet crucial mais souvent négligé dans les petites et moyennes entreprises : la gestion du cycle de vie des identités sur les réseaux sociaux. Cette discussion met en lumière les enjeux du onboarding (intégration) et de l’offboarding (départ) des employés, particulièrement en ce qui concerne leurs accès aux plateformes sociales de l’entreprise.

Le problème de l’offboarding sur les réseaux sociaux

L’un des constats les plus frappants soulevés durant la discussion est que les réseaux sociaux sont systématiquement oubliés lors du départ d’un employé. Contrairement aux équipements physiques comme les ordinateurs portables ou les souris que l’on pense à récupérer, les accès aux comptes sociaux de l’entreprise ne font généralement pas partie des listes de vérification de départ. Cette négligence peut avoir des conséquences graves pour l’organisation.

Le panel souligne qu’il est essentiel d’intégrer les réseaux sociaux dans les processus d’offboarding existants. Lorsqu’un employé du marketing qui avait accès à la page Facebook de l’entreprise quitte son poste, il faut impérativement lui retirer ces accès. Plus problématique encore, si cette personne était la seule à détenir les droits d’administrateur et qu’elle part en mauvais termes, l’entreprise peut se retrouver complètement verrouillée hors de ses propres comptes.

Les risques de la perte de contrôle

Les intervenants partagent plusieurs scénarios catastrophiques qui surviennent régulièrement. Une entreprise peut réaliser six mois après le départ d’un employé que celui-ci était le seul administrateur d’un compte social important. Si les relations sont cordiales, il est parfois possible de le recontacter pour qu’il transfère les accès. Cependant, en cas de départ conflictuel, l’entreprise peut perdre définitivement l’accès à ses propres pages et communautés.

Cyndie Feltz mentionne notamment l’exemple de LinkedIn où, si l’administrateur refuse de coopérer, la page est perdue à jamais. Cette situation est d’autant plus préoccupante que les actifs numériques, incluant les communautés bâties sur les réseaux sociaux, représentent aujourd’hui une valeur considérable pour les entreprises, particulièrement lors d’acquisitions.

Le coût caché des licences oubliées

Au-delà de l’aspect sécuritaire, Nicolas Milot attire l’attention sur l’impact financier de ces négligences. Combien d’entreprises continuent de payer des licences pour d’anciens employés dont les accès n’ont jamais été révoqués ? Ces coûts récurrents s’accumulent mois après mois sans que personne ne s’en rende compte, représentant une perte financière évitable avec de simples processus de revue.

Les défis particuliers des PME

La discussion met en évidence les défis spécifiques auxquels font face les petites et moyennes entreprises. Dans ces structures, tout le monde met la main à la pâte, et il y a une volonté naturelle de donner rapidement accès aux nouveaux employés pour qu’ils puissent être productifs. Cette urgence opérationnelle conduit souvent à ouvrir trop de portes sans documentation adéquate.

Le problème est aggravé dans les PME par les acquisitions fréquentes et les changements organisationnels rapides. Sans inventaire rigoureux, on perd la trace des comptes de médias sociaux, surtout lors de fusions ou d’acquisitions. La connaissance institutionnelle disparaît avec les employés, et sans documentation claire du onboarding, il devient impossible de savoir qui a accès à quoi.

Les aspects techniques et l’hygiène informatique

Dominique Derrier apporte une perspective plus technique en abordant les problématiques liées à Active Directory et Azure. Il explique le concept de “ghost users” - des comptes utilisateurs qui restent actifs dans le système même s’ils ne sont plus utilisés. Ces comptes dormants représentent un risque de sécurité important car un attaquant pourrait les réactiver pour passer inaperçu plutôt que de créer de nouveaux comptes suspects.

Il recommande d’implémenter des politiques claires : désactiver les comptes après trois mois d’inactivité, puis les supprimer définitivement. Il est également crucial de supprimer les ordinateurs de l’Active Directory lorsqu’ils sont retirés du parc informatique. De plus, il suggère fortement d’avoir un utilisateur dédié au onboarding plutôt que d’utiliser des comptes administrateurs de domaine pour joindre des machines, car cela crée des relations de confiance problématiques dans Active Directory.

Les consultants et partenaires externes

Le panel souligne qu’il ne faut pas oublier les consultants et les agences de marketing dans la gestion des accès. Lorsqu’une agence gère les réseaux sociaux d’une entreprise, elle a légitimement besoin d’accès. Cependant, à la fin du mandat, ces accès doivent être révoqués. Julien observe fréquemment des agences qui conservent encore des accès à des comptes de clients datant de plusieurs années, créant un vecteur d’attaque potentiel si le compte d’un employé de l’agence est compromis.

Solutions et recommandations

Pour résoudre ces problèmes, les intervenants proposent plusieurs solutions concrètes :

1. Créer des processus documentés : Établir des listes de vérification claires pour le onboarding et l’offboarding qui incluent spécifiquement les réseaux sociaux et tous les outils SaaS utilisés par l’entreprise.

2. Maintenir un inventaire : Tenir à jour une liste de tous les comptes, plateformes et accès, en précisant qui y a accès et pourquoi. Cet inventaire est crucial pour les changements de poste internes également.

3. Penser aux changements de rôle : Ne pas se concentrer uniquement sur les départs, mais aussi sur les mobilités internes. Un employé qui change de département doit perdre les accès de son ancien poste.

4. Conserver les droits administrateurs : S’assurer que l’entreprise garde toujours au moins un accès administrateur aux comptes sociaux, même si une seule personne les gère au quotidien.

5. Instituer une “journée de revue des accès” : Cyndie suggère de créer un événement annuel dédié à la revue de tous les accès aux réseaux sociaux, similaire à la journée mondiale du mot de passe ou des sauvegardes.

Conclusion

Le message central de ce podcast est clair : les réseaux sociaux doivent être traités avec le même sérieux que les autres actifs de l’entreprise. Ils ne sont pas simplement des outils de communication périphériques, mais font partie intégrante de la vitrine numérique et de la valeur de l’entreprise. L’équipe insiste sur l’importance de mettre en place des processus dès maintenant, car plus on attend, plus le ménage devient complexe et risqué. La gestion proactive du cycle de vie des identités sur les réseaux sociaux n’est pas seulement une question de sécurité, mais aussi de protection de la valeur et de la réputation de l’entreprise.

Collaborateurs

• Nicolas-Loïc Fortin
• Dominique Derrier
• Cyndie Feltz
• Nicholas Milot
• Julien Teste-Harnois

Crédits

• Montage par Intrasecure inc
• Locaux virtuels par Riverside.fm

Tags: identite, socnet