Pourquoi l’identité est le nouveau pare-feu – et pourquoi les stratégies IAM échouent

Dans un monde sans périmètre, l’identité est le dernier point de contrôle fiable. Pourtant, la réalité est différente : plus de 60 pour cent de toutes les violations commencent par des informations d’identification compromises. Non pas parce que la technologie IAM manque, mais parce que les entreprises l’implémentent mal.

L’essentiel

• Verizon DBIR 2022 : 61 pour cent des violations impliquent des informations d’identification volées
• En moyenne, 187 jours avant la détection des comptes compromis (IBM)
• Adoption du MFA dans les entreprises : moins de 50 pour cent des comptes privilégiés
• La gouvernance des identités devient un sujet obligatoire dans le cadre de la NIS2

La fin du périmètre – et le début de la crise de l’identité

Le cloud, le travail à distance et les SaaS ont dissous la frontière réseau classique. Dans un environnement où les employés accèdent à des ressources dans dix services cloud différents depuis n’importe où, la question n’est plus « Êtes-vous dans le réseau ? », mais « Qui êtes-vous – et avez-vous le droit de le faire ? ».

Ce déplacement fait de l’Identity and Access Management (IAM) la discipline de sécurité la plus critique. Pourtant, de nombreuses entreprises traitent toujours l’IAM comme un sujet d’administration informatique plutôt que comme une stratégie de sécurité.

Les trois erreurs IAM les plus courantes

1. MFA uniquement pour VPN : De nombreuses entreprises ont mis en place le MFA pour l’accès VPN, mais pas pour les applications SaaS, les consoles cloud ou les portails internes. Les attaquants contournent simplement le canal protégé.

2. Pas de gestion du cycle de vie : Les comptes des anciens employés, les comptes de service orphelins et les utilisateurs de test surprivilegiés sont les fruits à portée de main de chaque attaquant.

3. Pas de contrôle d’accès contextuel : Les rôles statiques ne suffisent pas. Si un directeur financier accède aux données financières à 3 heures du matin depuis un pays inconnu, le système doit réagir – et non pas le SOC-Analyste le lendemain matin.

Zero Trust nécessite une identité solide

Zero Trust sans IAM robuste est une architecture vide. Chaque mise en œuvre Zero Trust commence par la question : Puis-je vérifier de manière fiable l’identité de la personne qui demande l’accès ? Sans authentification forte, principe du moindre privilège et évaluation continue des risques, Zero Trust reste un mot à la mode.

La combinaison d’IAM moderne (SCIM, OIDC), de politiques d’accès conditionnel et d’analyses comportementales forme la base d’une architecture Zero Trust qui fonctionne réellement.

Authentification résistante au phishing : FIDO2 et Passkeys

La prochaine étape de l’évolution est l’élimination des mots de passe. L’authentification basée sur FIDO2 avec des clés matérielles (YubiKey) ou des authentificateurs de plateforme (Windows Hello, Face ID) est intrinsèquement résistante au phishing : la clé privée ne quitte jamais l’appareil.

Apple, Google et Microsoft ont rendu la technologie FIDO2 accessible au grand public avec les Passkeys. Pour les entreprises, cela signifie : la voie vers l’authentification sans mot de passe est ouverte – la technologie est là, l’adoption doit suivre.

Key Facts

Attaques basées sur les informations d’identification : 61 pour cent de toutes les violations (Verizon DBIR 2022)

Efficacité du MFA : Réduit la compromission des comptes de 99,9 pour cent (Microsoft)

Coût par violation : 4,35 millions d’euros en moyenne – 150 000 euros de moins avec une mise en œuvre Zero Trust (IBM)

Questions fréquentes

Le MFA seul suffit-il comme protection ?

Le MFA est essentiel, mais pas suffisant. Les attaques avancées comme la fatigue du MFA (bombardement de notifications push) et les proxys Adversary-in-the-Middle peuvent contourner le MFA classique. FIDO2/Passkeys sont l’alternative plus robuste.

Quelle est la différence entre IAM et PAM ?

L’IAM (Identity and Access Management) régit l’accès de tous les utilisateurs. Le PAM (Privileged Access Management) se concentre sur les comptes hautement privilégiés – accès administrateur, comptes de service, clés root. Les deux sont complémentaires.

Comment commencer avec la sécurité Identity-First ?

Trois mesures immédiates : activer le MFA pour tous les services cloud, introduire des revues d’accès trimestrielles et inventorier tous les comptes de service. Ensuite : planifier le déploiement des politiques d’accès conditionnel et de FIDO2.

Articles connexes

• Étude de cas : Migration Zero Trust chez un groupe d’assurance
• Tendances de la cybersécurité 2026 : les 7 développements que les décideurs en matière de sécurité doivent connaître
• Cybersécurité 2030 : cinq prévisions pour la prochaine décennie de la sécurité informatique

Plus du réseau MBF Media

• Cloud Magazin – Cloud, SaaS & infrastructure IT
• myBusinessFuture – Numérisation, IA & business
• Digital Chiefs – Leadership de pensée C-Level

Source de l’image : Pexels / Pixabay

À propos de l'auteur: Tobias Massow

Plus d'articles de Tobias Massow