Chaque compte SaaS encore actif garde un accès à vos données, à vos équipes et à vos clients. Lorsque ces comptes restent livrés à eux-mêmes après un départ ou un changement de poste, ils élargissent la surface d’attaque et gonflent vos dépenses de licences, sans aucun bénéfice pour l’activité.
Par expérience professionnelle, dans les compagnies utilisant des plateformes SaaS, très souvent, cela passe déjà par un compte SSO (une authentification unique et centralisée). Par exemple : un compte Microsoft permettant de se connecter à 30 différentes plateformes de travail. Ne pas le faire est déjà une forme de faille de sécurité.
Cette plateforme SSO (ex : FusionAuth, Auth0, Okta, Microsoft Entra ID, AWS Cognito) va gérer l’administration des comptes.
Par exemple :
- Statut du compte user : actif / inactif / désactivé / supprimé
- Accès à une application : abonnée / désabonnée
- Autorisation à une application (rôle) : admin / user / visitor
Lorsqu’un employé quitte définitivement sa compagnie, le compte user bascule à minima dans un statut désactivé. Le compte existe toujours mais il ne permet plus de se connecter et s’authentifier. La majorité des plateformes SSO ne facture pas ce genre de compte (et certaines sont tous simplement gratuites).
La suppression de compte est plus rare, car cela peut entraîner des pertes de traçabilité interne (lors d’audit). Ce processus de « offboarding » s’enclenche parfois automatiquement lors du dernier jour officiel de l’employé.
Si les choses sont bien configurées, le fait de désactiver l’utilisateur va aussi le désabonner de toutes applications SaaS (et donc le retirer de l’abonnement de ce service / libérer la licence, etc.).
Dans des plus grandes entreprises, généralement, cette responsabilité retombe sur une équipe « INFRA », « IT » ou « SECOPS », qui à fréquence régulière va « nettoyer » ces comptes de manière proactive et réactive (changement de statut, vérification des autorisations, vérification des configurations, etc.). Ses objectifs prioritaires sont la maîtrise des coûts opérationnels et la sécurité informatique. Elle reçoit des mandats soit des RH (début / fin d’un contrat professionnel, transition et mobilité interne), soit de responsables d’équipe (service, département, division, etc.). Elle est redevable à la Direction de ses actions.
Le problème est davantage présent dans de petites ou moyennes structures ayant une faible expertise informatique interne. Les comptes s’accumulent et - surtout - ne sont pas toujours désactivés (par oubli, par méconnaissance, etc.). Soit c’est une brèche informatique constatée qui déclenche en urgence la correction, soit c’est parce qu’un responsable financier a remonté que les coûts opérationnels étaient de plus en plus importants. C’est du réactif.