Le manque de communication entre le service informatique et celui du personnel est régulièrement pointé du doigt par les consultants sécurité. Selon eux, bien des nuisances en découlent lorsque le départ d'un collaborateur ne se passe pas dans les meilleures conditions. « C'est un grand classique, les entreprises ne savent pas gérer le départ du personnel. On retrouve ainsi des prestataires ou des employés partis depuis six mois qui possèdent toujours un accès au réseau », constate Thomas Lebouc, directeur de mission pour l'activité conseil en sécurité de Thales Security Systems.

La faute, ici, est purement organisationnelle, même si des solutions techniques peuvent faciliter la gestion des comptes utilisateurs à grande échelle (BMC Software, BEA, Sun, Novell, Critical Path et même Microsoft). En fait, tout simplement, les services ne se parlent pas : une fois en poste, un collaborateur demande en général directement au service informatique l'ouverture de ses accès.

En revanche, lors de son départ, seul le service du personnel en est informé, et ce dernier a rarement l'occasion de communiquer avec le service informatique. L'entreprise se retrouve ainsi avec de nombreux accès inutiles et potentiellement dangereux : le collaborateur peut revenir à loisir, ou un pirate les détourner sans attirer l'attention.

Car la dissémination des accès (qu'il s'agisse de comptes utilisateurs périmés ou d'accès offerts à des prestataires) augmente le risque de voir exploiter l'un de ces comptes, même s'il ne dispose d'aucun privilège, afin d'obtenir un accès administrateur. Car, si bien des failles de sécurité ne sont pas exploitables à distance, il suffit souvent d'un simple compte d'invité pour obtenir des droits complets sur le système.