Collaborateur externe dormant
Compte externe — ancien prestataire, ex-fournisseur, partenaire d'un projet clos — qui conserve l'accès à un workspace, un fichier ou un canal SaaS des mois ou des années après la fin du travail.
Un collaborateur externe dormant est un compte hors organisation — ancien prestataire, chef de projet d’un fournisseur passé, partenaire d’un deal clos il y a deux ans, freelance qui a livré et continué sa route — qui figure toujours comme invité ou identité partagée dans un workspace SaaS. Le travail qui justifiait l’accès est terminé ; pas l’accès.
L’offboarding des collaborateurs internes est aujourd’hui un processus bien rodé dans la plupart des organisations : la RH déclenche la suppression dans l’IdP, les SaaS dé-provisionnent via SCIM, le laptop revient. L’offboarding des collaborateurs externes est rarement automatisé. Leur identité vit dans l’IdP de leur propre employeur, pas le vôtre ; vous ne recevez aucun événement de départ. Le dossier, le canal ou le document partagé les conserve silencieusement jusqu’à ce que quelqu’un s’en rende compte. Propriétés essentielles :
- Longue traîne. Un workspace en service depuis cinq ans compte typiquement des centaines de collaborateurs externes, dont 60 à 80 % sont dormants au sens raisonnable (sans activité depuis 90+ jours).
- Risque de compromission de compte hérité. Si le compte d’entreprise du collaborateur dormant est compromis chez son employeur, l’attaquant hérite de vos données.
- Aimant à constats d’audit. SOC 2, ISO 27001 et HDS demandent de plus en plus de preuves de revue des accès externes.
- Bon marché à nettoyer, cher à ignorer. Chaque retrait est un clic ; le traitement en masse demande juste de savoir qui retirer.
- Souvent invisible aux outils IAM. Les invités externes sont gérés dans chaque SaaS, pas dans l’IdP central — vos dashboards IAM ne les voient pas.
Le contrôle ici, c’est la cadence de revue — trimestrielle au minimum, idéalement continue. Les revues trimestrielles manuelles ne tiennent pas l’échelle et finissent par sauter. Faire remonter en continu les collaborateurs externes dormants et envoyer un nudge au propriétaire qui les a invités est l’un des usages à plus fort rendement de la surveillance comportementale SaaS.
Termes liés
- Shadow ITLogiciels, SaaS ou services cloud utilisés dans l'organisation sans approbation IT ou sécurité — invisibles à l'inventaire, non gouvernés, rarement désactivés à la sortie.
- Octroi OAuthJeton d'accès qu'un utilisateur délivre à une application tierce via OAuth, donnant à cette application un droit permanent de lire ou écrire dans un SaaS — souvent au-delà du MFA, souvent à vie.
- Partage public de fichiersPartage d'un fichier ou d'un dossier SaaS via une option « toute personne disposant du lien » qui contourne l'authentification — la fuite silencieuse la plus fréquente dans Drive, SharePoint, Dropbox, Notion.
- CASB (Cloud Access Security Broker)Couche d'application des politiques entre les utilisateurs et les SaaS, qui inspecte le trafic et bloque les actions interdites — le modèle « gardien » de la sécurité SaaS.