Réviser les comptes de service — la majorité invisible

En plus de vos vrais collaborateurs, vous avez des comptes de service : intégrations API, tâches planifiées, automatisations. Souvent plus nombreux que les utilisateurs humains — qui en est responsable et comment les réviser ?

Les comptes de service sont des identités non humaines : l'intégration Zapier, le bot GitHub Actions, le script de sauvegarde nocturne. Ils ont une longue durée de vie, disposent souvent de droits étendus et sont rarement révisés.

Faites l'inventaire

• Toutes les inscriptions d'applications M365/Entra : à quoi servent-elles, qui les a créées ?
• Les deploy keys et installations d'applications GitHub.
• Les utilisateurs API dans le CRM, la comptabilité, le portail client.
• Les utilisateurs de base de données en dehors de votre table d'utilisateurs.
• Les identifiants CI/CD.

Pour chaque compte de service, consignez

• Le responsable humain (nom, transfert en cas de départ).
• L'objectif / ce que fait ce compte.
• Le périmètre / les droits accordés.
• L'emplacement de stockage des identifiants.
• Une date d'expiration (de préférence) ou une date de révision.

Fréquence de révision

Au minimum une fois par an, idéalement tous les six mois. Pour chaque élément : est-il encore nécessaire ? Les droits sont-ils toujours au minimum requis ? Les identifiants ont-ils été récemment renouvelés ?

En cas de départ du responsable

Chaque compte de service doit être attribué à un nouveau responsable humain — sans quoi il disparaît silencieusement lors de l'offboarding, sans que personne ne réalise ce qui en dépend. Voir le transfert du coffre-fort de mots de passe.