Écart de sécurité des identités : ce que Zero Trust ne protège pas et comment le combler
8 min de lecture
Zero Trust était la promesse : ne faites confiance à personne, vérifiez tout, minimisez le rayon d’action. Mais les attaquants se sont adaptés. Ils ne s’introduisent plus par effraction. Ils se connectent. Grâce à des jetons de session volés, des e-mails de phishing générés par l’IA et des appels Deepfake, ils contournent aussi bien l’authentification multifacteur (MFA) que les politiques Zero Trust. Cette faille a un nom : l’écart de sécurité des identités (Identity Security Gap).
L’essentiel
- 🔒 87 % des organisations ont subi au moins deux violations basées sur l’identité au cours des 12 derniers mois (CyberArk 2025).
- ⚠️ 84 % des comptes compromis avaient activé l’authentification multifacteur (MFA). Le vol de jetons de session contourne totalement le deuxième facteur (Obsidian Security).
- 🛡️ Le vishing a augmenté de 442 % en six mois, alimenté par la synthèse vocale générée par l’IA (CrowdStrike GTR 2025).
- 📊 17,3 milliards de cookies de session volés circulent sur le Darknet. Chaque infection par un logiciel malveillant permet de récupérer en moyenne 1 861 cookies (SpyCloud 2025).
- 🔧 L’ITDR (Identity Threat Detection and Response) comble l’écart entre l’octroi d’un accès et la détection de son usage abusif.
L’illusion de la sécurité
Les chiffres sont sans appel. Selon le rapport CyberArk Identity Security Landscape 2025, 87 % des organisations interrogées ont subi au moins deux violations réussies basées sur l’identité au cours des douze derniers mois. 91 % ont connu au moins un incident. Parallèlement, 87 % des grandes organisations utilisent déjà l’authentification multifacteur (MFA).
Cela signifie que la majorité des entreprises sont compromises malgré l’utilisation du MFA, non pas parce qu’elles ne l’ont pas mis en œuvre. La question n’est plus de savoir si le MFA est activé. La question est désormais : que se passe-t-il une fois qu’un attaquant a contourné le deuxième facteur ?
Obsidian Security a quantifié ce point : 84 % des comptes compromis observés par ses soins avaient MFA activé. Les attaquants n’ont pas eu besoin de le craquer. Ils l’ont contourné.
Sources : CyberArk 2025, Obsidian Security, CrowdStrike GTR 2025
Comment les attaquants contournent Zero Trust
Zero Trust repose sur un principe fondamental : chaque accès est vérifié, indépendamment de l’emplacement. Cela fonctionne contre les attaques basées sur le réseau. Mais il présente un point aveugle : lorsqu’un attaquant dispose d’un jeton de session légitime, le système le perçoit comme un utilisateur authentifié. Zero Trust ne peut pas distinguer si la personne derrière le jeton est bien celle qu’elle prétend être.
Le vol de jetons de session est le contournement le plus efficace. Les logiciels malveillants Infostealer, tels que Lumma, Redline et Vidar, extraient directement les cookies de session du stockage du navigateur. Aucun mot de passe n’est nécessaire, aucun déclenchement MFA. L’attaquant importe le cookie dans son propre navigateur et est immédiatement authentifié. Microsoft met en garde, dans son Digital Defense Report 2025, contre le vol de cookies ESTSAUTHPERSISTENT dans les environnements Azure et Microsoft 365.
L’ampleur est considérable : SpyCloud recense 17,3 milliards de cookies de session volés sur le Darknet. Chaque infection par un logiciel malveillant permet en moyenne de récupérer 1 861 cookies et 44 identifiants. 548 millions d’identifiants ont été exfiltrés uniquement en 2024 via des Infostealers.
Le phishing AiTM (Adversary-in-the-Middle) constitue le deuxième vecteur principal. Les attaquants s’interposent comme un proxy transparent entre l’utilisateur et le service. L’utilisateur voit la véritable page de connexion, saisit ses identifiants et passe l’étape MFA. Mais le proxy intercepte le jeton de session. Microsoft a observé, en 2024, plus de 10 000 attaques AiTM par mois contre des utilisateurs Microsoft 365. Des outils comme Tycoon 2FA, EvilProxy et Evilginx industrialisent ce processus. Au mois de juin 2025, 88 % de toutes les attaques AiTM étaient basées sur un proxy.
« La compromission des identifiants est la cause la plus fréquente des violations de données. Pourtant, l’importance de la gestion des identités et des accès (IAM) pour atteindre les objectifs de cybersécurité est souvent sous-estimée. »
Gartner, cité dans le CyberArk CISO Guide 2026
Le vecteur humain : +442 % de vishing
Outre les contournements techniques, un vecteur d’attaque s’accroît, qui ne peut être résolu par la technologie seule. Selon le CrowdStrike Global Threat Report 2025, le vishing (phishing par appel vocal) a augmenté de 442 % entre le premier et le second semestre 2024. Cette croissance est alimentée par la synthèse vocale générée par l’IA : trois secondes d’audio suffisent pour créer un clone vocal avec 85 % de ressemblance.
CrowdStrike documente également que les e-mails de phishing générés par l’IA atteignent un taux de clics de 54 %. Pour les e-mails de phishing rédigés par des humains, ce taux est de 12 %. L’industrialisation de l’ingénierie sociale par l’IA générative transforme fondamentalement le paysage des menaces.
Pour les équipes de sécurité informatique, cela signifie que les formations contre le phishing n’ont qu’un effet limité lorsque la qualité des attaques a quadruplé. Les contrôles techniques doivent compenser l’ingénierie sociale, et non simplement la compléter.
Le point aveugle : les identités machines
La plupart des stratégies de sécurité des identités se concentrent sur les utilisateurs humains. Pourtant, le CyberArk Machine Identity Report 2025 révèle que les identités machines (comptes de service, clés API, certificats, identités de charge de travail) dépassent les identités humaines dans un rapport de 82 pour 1. Près de la moitié d’entre elles disposent d’accès sensibles ou privilégiés.
Parallèlement, 68 % des organisations n’ont mis en œuvre aucun contrôle de sécurité des identités pour leurs systèmes d’intelligence artificielle (IA). 47 % ne parviennent pas à sécuriser l’utilisation non autorisée (Shadow-AI) de l’IA. Dans un monde où les agents IA accèdent de plus en plus de manière autonome aux systèmes, chaque identité machine non contrôlée devient une porte d’entrée potentielle.
ITDR : la couche manquante
Identity Threat Detection and Response (ITDR) comble la faille laissée ouverte par Zero Trust. Alors que Zero Trust régule l’accès, l’ITDR surveille le comportement après l’authentification. Gartner a forgé ce terme après avoir constaté que l’hygiène classique de la gestion des identités et des accès (IAM), comme le PAM et la gouvernance des identités, ne suffisait plus.
L’ITDR corréle en temps réel les journaux d’authentification, les signaux des appareils et le contexte utilisateur. Lorsqu’un utilisateur se connecte depuis Munich et qu’une session est activée cinq minutes plus tard depuis Bucarest, l’ITDR détecte l’incohérence. Lorsqu’un compte de service accède soudainement à des ressources qu’il n’a jamais sollicitées auparavant, l’ITDR déclenche une alerte.
Microsoft a présenté sa stratégie ITDR en juillet 2025, intégrée à Microsoft Entra. Cette approche combine la protection des jetons, l’évaluation des accès conditionnels et la détection continue d’anomalies. Pour les entreprises de la région DACH qui utilisent déjà Microsoft 365, c’est l’entrée la plus rapide dans l’ITDR.
Ce que les équipes de sécurité informatique doivent faire maintenant
1. Prioriser la protection des jetons de session. Mise en œuvre du Token Binding et des politiques d’accès conditionnel qui lient les jetons aux appareils. Durées de vie courtes des jetons (maximum 8 heures pour les systèmes sensibles). Activation de l’évaluation continue de l’accès (CAE) lorsque cela est disponible.
2. Déployer des clés d’accès (Passkeys). Les Passkeys (FIDO2) sont actuellement le seul mécanisme d’authentification résistant au phishing. Selon la FIDO Alliance, 47 % des entreprises avaient déjà déployé des Passkeys d’entreprise en 2025. Point critique : éliminer tous les mécanismes de secours vulnérables au phishing (SMS, « mot de passe oublié »), sinon le mécanisme de secours compromet la sécurité.
3. Inventorier les identités machines. Répertorier les comptes de service, les clés API et les certificats. Vérifier les droits d’accès privilégiés. Mettre en place la rotation et la gestion du cycle de vie. 82 identités machines par humain signifie que c’est là que réside le risque le plus élevé.
4. Mettre en œuvre l’ITDR. Déploiement d’une détection d’anomalies basée sur le comportement pour les identités Active Directory et les identités cloud. Corrélation des journaux d’authentification sur tous les fournisseurs d’identité. Révocation automatique des sessions en cas de comportement suspect.
5. Moderniser la défense contre l’ingénierie sociale. Avec une augmentation de 442 % du vishing, les formations standard ne suffisent plus. Mesures techniques : vérification hors bande (out-of-band) pour les demandes sensibles, détection automatique des Deepfakes lors des appels vidéo, politiques de rappel pour toutes les transactions financières dépassant un seuil défini.
Conclusion : l’identité est la nouvelle frontière
Zero Trust a transformé la sécurité réseau. Mais il a laissé une faille : l’identité elle-même. Si 87 % des organisations subissent des violations basées sur l’identité malgré l’utilisation du MFA et de Zero Trust, alors la sécurité des identités n’est pas une priorité parmi d’autres. C’est la priorité.
La technologie existe. Le Token Binding, les Passkeys, l’ITDR et la gestion des identités machines sont disponibles. Ce qui manque, c’est la prise de conscience que la sécurisation des identités mérite autant d’attention que celle du réseau. Celui qui croit encore aujourd’hui que le MFA suffit n’a pas compris le paysage des menaces de 2026.
Questions fréquentes
Qu’est-ce que l’écart de sécurité des identités (Identity Security Gap) ?
L’écart entre ce que Zero Trust et le MFA protègent (l’accès réseau) et ce que les attaquants exploitent réellement (les identités volées et les jetons de session). 84 % des comptes compromis avaient le MFA activé. Les attaquants le contournent au lieu de le cracker.
Pourquoi le MFA n’offre-t-il plus une protection fiable ?
Les attaquants utilisent le vol de jetons de session (logiciels malveillants Infostealer), le phishing AiTM (proxies transparents) et l’ingénierie sociale (vishing assisté par l’IA). Ces trois méthodes contournent le MFA, car elles interceptent le jeton après une authentification réussie ou amènent l’utilisateur à le divulguer.
Qu’est-ce que l’ITDR ?
Identity Threat Detection and Response. Une approche définie par Gartner qui effectue une analyse comportementale après l’authentification. L’ITDR détecte l’usage abusif d’une session légitime, par exemple via des vitesses de déplacement impossibles, des schémas d’accès atypiques ou une escalade soudaine de privilèges.
Quel danger représentent les identités machines ?
Les identités machines (comptes de service, clés API, certificats) dépassent les identités humaines dans un rapport de 82 pour 1. Près de la moitié disposent d’accès privilégiés. 68 % des organisations n’ont pas mis en œuvre de contrôles de sécurité spécifiques pour les identités machines.
Que devraient faire les entreprises en premier ?
Activer la protection des jetons de session (Token Binding, durées courtes, CAE). Déployer une authentification résistante au phishing (Passkeys/FIDO2) et éliminer tous les mécanismes de secours vulnérables au phishing. Inventorier les identités machines. Puis mettre en œuvre l’ITDR comme couche de surveillance continue.
Lectures recommandées par la rédaction
Plus d’actualités du réseau MBF Media
- → Cyber-sécurité : la NIS2 comme moteur de croissance (MyBusinessFuture)
- → Sovereignty-Washing : Cloud Act et souveraineté des données (cloudmagazin)
Source de l’image : Pexels / Tima Miroshnichenko
