Chaque compte SaaS encore actif garde un accès à vos données, à vos équipes et à vos clients. Lorsque ces comptes restent livrés à eux-mêmes après un départ ou un changement de poste, ils élargissent la surface d'attaque et gonflent vos dépenses de licences, sans aucun bénéfice pour l'activité.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Si vous fonctionnez avec des SaaS, vous savez sans doute que cela signifie Software as a Service dans la langue de Shakespeare, un modèle dans lequel l'éditeur héberge le logiciel dans son propre cloud et vous y donne accès par un navigateur ou une application cliente. Vous n'installez plus le logiciel sur vos serveurs, vous gérez surtout des comptes et des droits d'accès. Les entreprises utilisent ce modèle pour la messagerie, la collaboration, le CRM, le marketing, la gestion de projet ou encore le support client. Chaque employé, chaque prestataire et parfois des identités techniques disposent d'identifiants qui permettent de se connecter à ces services, souvent via une adresse e-mail professionnelle et un mot de passe, ou via une fédération d'identités avec un SSO interne.
Dans l'idéal, chaque compte suit le cycle de vie du collaborateur ou du prestataire : création à l'arrivée, ajustement des droits quand le poste évolue, désactivation au départ. Dans la réalité, des comptes restent actifs même si la personne a quitté l'entreprise, changé de périmètre ou abandonné l'outil. Ces comptes deviennent dormants, mais continuent à ouvrir l'accès aux documents, aux espaces de stockage, aux workflows et aux intégrations. On voit bien plus loin que la simple hygiène de l'annuaire : votre niveau de sécurité et la qualité de vos arbitrages financiers sont fragilisés.
Les comptes SaaS dans le travail quotidien
Un compte SaaS donne à un utilisateur le droit de se connecter à une application gérée par un fournisseur externe, d'y créer des contenus, de les partager et parfois de paramétrer l'outil pour toute une équipe. Derrière un identifiant, on trouve des droits sur des dossiers partagés, des canaux de discussion, des pipelines commerciaux, des tableaux de suivi, des rapports financiers ou des tickets d'assistance.
Les éditeurs segmentent ces comptes en plusieurs profils : lecture seule, contribution, administration fonctionnelle ou administration globale. Des comptes de service viennent s'ajouter pour permettre les échanges automatisés entre applications via des API. Un même collaborateur cumule souvent plusieurs comptes SaaS, issus de projets successifs ou de changements de poste. L'ensemble crée un maillage d'accès puissant pour les métiers, mais difficile à suivre pour la DSI et pour les équipes de sécurité.
Mais que deviennent les comptes quand les usages évoluent ?
Un compte parfaitement légitime lors de l'arrivée d'une personne peut perdre tout intérêt quelques mois plus tard. Un collaborateur quitte un service, une filiale change d'outil, une équipe met fin à un pilote, mais les comptes liés restent en place. Des prestataires accomplissent leur mission, alors que leurs identifiants conservent encore des droits étendus dans plusieurs environnements SaaS. Au fil des années, ce décalage entre les usages réels et l'état des consoles d'administration crée une couche de « comptes fantômes ».
Ces comptes ne génèrent plus d'activité visible dans les équipes, pourtant ils conservent des privilèges parfois élevés. Un ancien chef de projet garde un rôle d'administrateur sur un outil de gestion de tâches, un ex-membre du comité de direction conserve les droits de lecture sur des tableaux de bord financiers, un intégrateur externe peut encore accéder à un support back-office. Tant que personne ne revoit la liste des comptes, ces situations restent invisibles. Elles augmentent pourtant la surface d'exposition de données sensibles.
Pourquoi un compte inactif représente un risque de sécurité
Un compte inactif tenue un attaquant, car il porte souvent un identifiant valide et passe sous les radars opérationnels. Des fuites de bases d'adresses et de mots de passe circulent sur le long terme. Si un ancien collaborateur réutilise son mot de passe professionnel sur d'autres services, un tiers peut tester ces informations sur vos plateformes SaaS. Si le compte reste actif, un attaquant peut s'y connecter sans que l'équipe métier remarque d'activité suspecte.
Le risque augmente encore quand le compte affiche des privilèges élevés. Un profil administrateur oublié garde la capacité de modifier des paramètres de partage, d'ajouter de nouveaux comptes, de générer des jetons d'API ou d'ouvrir des espaces accessibles depuis l'extérieur. Les comptes de service non documentés présentent un problème similaire : ils ne correspondent pas à une personne clairement identifiée, s'utilisent parfois dans des scripts anciens et accèdent à des volumes importants de données. Un inventaire incomplet de ces identités offre donc un terrain favorable à des actions malveillantes silencieuses.
Comment repérer les comptes inutilisés dans un environnement dispersé
Rapprochez systématiquement les listes d'utilisateurs SaaS de vos données RH. Chaque application dispose d'un annuaire interne. En comparant ces comptes avec les salariés encore présents, les prestataires sous contrat et les alternants répertoriés, vous identifiez rapidement des comptes rattachés à des personnes parties depuis plusieurs mois. Un tel rapprochement révèle souvent des écarts entre la réalité RH et les droits techniques encore actifs.
Exploitez les journaux d'activité des applications. La plupart des éditeurs fournissent des informations sur la dernière connexion, sur la fréquence d'utilisation et parfois sur le type d'actions réalisées. Vous pouvez définir des seuils, par exemple l'absence de connexion depuis 90 ou 180 jours, puis faire remonter ces cas aux responsables de chaque équipe. Cette revue permet de distinguer les comptes à supprimer immédiatement, à mettre en pause et ceux qui restent peu utilisés mais critiques, par exemple pour des opérations annuelles. Des outils de gestion de portefeuille SaaS facilitent cette vue d'ensemble en regroupant les données de licences, d'utilisation et de facturation.
Ce que vous gagnez en particulier sur les comptes dormants
La réduction des comptes inutilisés resserre votre surface d'attaque. Chaque suppression retire un identifiant, un mot de passe généralement stocké dans un navigateur, un jeton d'API ou un profil à privilèges qui ne correspondent plus à aucun besoin métier. La gestion des droits devient plus lisible, ce qui facilite le travail des équipes de sécurité lors des analyses d'incident et des audits. Le lien entre une action réalisée dans un outil et la personne qui en porte la responsabilité se renforce.
Les effets se voient également sur la ligne budgétaire. Les formules d'abonnement par utilisateur facturant chaque compte actif. Un nettoyage régulier fait remonter des volumes de licences inutilisées, qui se traduisent par des dépenses évitables. La réallocation de ces licences vers de nouveaux arrivants limite le besoin d'achats supplémentaires. Les échanges avec les éditeurs gagnent en précision, car vos chiffres d'utilisateurs actifs reposent sur un inventaire réel et non sur un historique jamais mis à jour.
Une étude Vendr publiée sur SaaS Management rappele que 100% des entreprises consultées possèdent des licences inutilisées, avec une moyenne de 1,4 licences par PME/ETI. Environ 37% de ces licences restent sous-exploitées, ce qui représente un coût mondial annuel évalué à 21 millions de dollars en 2025.
Intégrer la gestion des comptes dans vos pratiques de sécurité
Une opération ponctuelle de nettoyage règle une partie du problème, mais la situation dérive à nouveau si votre processus ne change pas. L'enjeu revient à intégrer la gestion des comptes SaaS dans vos flux standard : arrivée, mobilité interne, départ, fin de contrat prestataire, fin de projet. Lorsque les applications s'alignent sur un système d'identités central ou sur un SSO, chaque événement de ce type peut déclencher automatiquement la création, la modification ou la suppression d'un compte.
Pensez à effectuer des revues périodiques structurées pour compléter ce dispositif. Vous pouvez, par exemple, planifier tous les trimestres une revue des comptes à privilèges élevés et des comptes sans activité sur une période donnée. Chaque responsable métier valide ou rejette les comptes répertoriés pour son périmètre. Avec le temps, ce rituel s'intègre à vos réflexes de sécurité, au même titre que la gestion des correctifs ou les campagnes de sensibilisation. Les comptes SaaS cessent alors de s'accumuler en arrière-plan et redeviennent un élément piloté, à la fois pour votre cybersécurité et pour vos budgets.
