Comment les Ransomware exploitent l’angle mort des informations d’identification des machines.

La préparation aux Ransomware se dégrade, notamment en ce qui concerne la gestion des identités

Le paysage de la cybersécurité évolue plus vite que la plupart des entreprises ne peuvent s’y adapter. Si les dirigeants comprennent que le Ransomware est devenu l’une des menaces les plus coriaces pour les entreprises modernes, la capacité à s’en défendre chute d’année en année. Le rapport 2026 State of Cybersecurity Report d’Ivanti montre clairement cet écart. Soixante-trois pour cent des professionnels de la sécurité considèrent le Ransomware comme un risque élevé ou critique, mais seulement 30 % décrivent leur organisation comme « très préparée. » Cet écart, qui est passé de 29 à 33 points en une seule année, montre que la sensibilisation ne se traduit pas par une défense.

Pour les dirigeants, il ne s’agit pas seulement d’un problème d’outils ou de talents, mais d’un problème d’orientation. Malgré l’augmentation des dépenses en matière de cybersécurité, la plupart des entreprises ne s’attaquent pas aux fondamentaux, à savoir l’identité, l’accès et la vitesse de confinement. Les Ransomware n’exploitent pas des vulnérabilités exotiques ; ils prospèrent sur de petites fissures dans la préparation opérationnelle. Le décalage indique un déséquilibre entre la confiance des dirigeants et l’état de préparation réel sur le terrain. Les dirigeants doivent orienter leurs organisations vers la vitesse et la précision, une prise de décision plus rapide, une réinitialisation plus rapide des informations d’identification et une planification plus rapide de la reprise. Ces capacités sont désormais des mesures directes de la résilience des entreprises.

Il ne s’agit pas seulement d’un problème de sécurité, mais aussi de gestion des risques opérationnels. Lorsque Daniel Spicer, responsable de la sécurité chez Ivanti, a qualifié cette situation de « déficit de préparation à la cybersécurité », il pointait du doigt quelque chose qui allait au-delà des performances informatiques. Il mettait en évidence un problème stratégique systémique, un déséquilibre organisationnel entre la reconnaissance des risques et le renforcement des capacités d’action contre ces risques. Les données d’Ivanti et de CrowdStrike renforcent ce message. Seules 12 % des entreprises manufacturières qui se considéraient comme bien préparées ont effectivement récupéré d’un Ransomware dans les 24 heures. Par ailleurs, 54 % des entreprises paieraient si elles étaient attaquées aujourd’hui, ce qui montre qu’il n’existe pas d’alternatives viables en matière d’endiguement. Ce recours au paiement est un indicateur clair que la plupart des entreprises sont encore en position de faiblesse face aux Ransomware.

Les playbooks des entreprises en matière de Ransomware négligent les identités des machines.

Presque toutes les stratégies actuelles de lutte contre les Ransomwares ne prennent pas en compte les identités des machines. Le document How to Prepare for Ransomware Attacks (Comment se préparer aux attaques de Ransomware) de Gartner, qui détermine une grande partie de la réponse du secteur, indique aux équipes de sécurité de réinitialiser les « identifiants des utilisateurs/hôtes impactés » pendant le confinement, mais le processus s’arrête là. Les comptes de service, les jetons, les clés API et les certificats ne sont pas pris en compte. Il s’agit d’informations d’identification de la machine, et les attaquants savent comment les exploiter. En les ignorant, on laisse des points d’accès cachés, ce qui permet aux attaquants de s’introduire à nouveau dans les systèmes, même lorsque ceux-ci semblent sécurisés.

Cette omission est plus qu’une lacune technique, c’est une faiblesse structurelle dans la planification de la cybersécurité de l’entreprise. Les manuels d’utilisation des entreprises partent souvent du principe que la gestion des identités ne s’applique qu’aux personnes. Pourtant, avec l’automatisation, l’intégration du cloud et l’expansion rapide des systèmes d’IA, la majorité des informations d’identification appartiennent désormais à des machines. Le paysage de la sécurité des identités 2025 de CyberArk a mis des chiffres : les organisations maintiennent environ 82 identités de machines pour chaque humain, et 42 % d’entre elles ont un accès privilégié ou sensible. Cela signifie que les attaquants n’ont besoin que d’un seul identifiant négligé pour contourner des architectures de sécurité entières.

Les dirigeants devraient voir cela pour ce que c’est, un angle mort dans leur gouvernance des risques. L’efficacité d’un manuel de jeu dépend de la façon dont il reflète le fonctionnement réel des infrastructures modernes. La plupart d’entre elles fonctionnent désormais grâce à des systèmes numériques qui s’authentifient les uns les autres des milliers de fois par seconde, et non grâce à des identifiants humains. Lorsque ces systèmes sont compromis, une politique de réinitialisation des informations d’identification conçue uniquement pour les personnes ne permet qu’un confinement à moitié complet.

Les dirigeants peuvent changer cette situation en élargissant les cadres de réponse aux incidents pour inclure des contrôles structurés de l’identité des machines, une découverte automatisée, un registre de propriété et des procédures de réinitialisation liées directement aux playbooks d’endiguement. Cela permet non seulement de réduire le temps de récupération, mais aussi d’empêcher les attaquants d’utiliser des informations d’identification non surveillées pour s’infiltrer en permanence. Ce simple changement peut améliorer considérablement la capacité de défense et l’état de préparation général, en comblant l’une des lacunes les plus exploitées dans la sécurité des entreprises aujourd’hui.

La gouvernance de l’identité des machines n’est pas développée et n’est pas suivie.

Les identités des machines, les clés API, les comptes de service et les certificats numériques sont désormais aussi essentiels à la cyberdéfense que les utilisateurs humains, mais la plupart des entreprises les considèrent encore comme une infrastructure invisible. Ce manque de gouvernance est l’une des principales raisons pour lesquelles les attaquants peuvent s’attarder sans être détectés dans les systèmes d’entreprise. En l’absence d’un inventaire complet ou d’une attribution de propriété pour ces informations d’identification, les équipes d’intervention perdent un temps précieux à les localiser après un incident. Ce retard augmente les temps d’arrêt, les pertes de données et les perturbations opérationnelles lorsque le Ransomware frappe.

L’étude d’Ivanti montre l’ampleur du problème. Seules 51 % des organisations disposent d’un score formel d’exposition à la cybersécurité, et moins d’un tiers d’entre elles considèrent que leur évaluation de l’exposition au risque est « excellente », même si 64 % d’entre elles ont investi dans la gestion de l’exposition au risque. Cet écart entre l’investissement et la capacité réelle reflète un manque de clarté quant à l’emplacement des identités et à leur propriétaire. Les comptes de service et les scripts d’automatisation survivent souvent au personnel qui les a créés, ce qui se traduit par des milliers d’identifiants non gérés.

Pour les dirigeants, l’implication est simple mais sérieuse. Si l’organisation n’est pas en mesure d’identifier les systèmes ou les informations d’identification qui sont exposés, elle ne peut pas gérer efficacement les risques de sécurité. La gouvernance doit aller au-delà des inventaires d’actifs pour établir une cartographie continue de toutes les informations d’identification des machines et de tous les niveaux de privilèges. L’établissement d’une propriété centralisée, attribuant la responsabilité de chaque identité de machine, garantit que les équipes peuvent réagir rapidement et en toute confiance en cas d’incident.

Les dirigeants devraient promouvoir des outils de découverte d’identité automatisés et des politiques qui se mettent à jour en continu plutôt que manuellement. Il ne s’agit pas simplement d’une tâche informatique, mais d’un élément de la résilience de l’entreprise. Une visibilité claire sur les identités des machines renforce la capacité de l’organisation à prévenir et à contenir les Ransomware, minimise le temps d’exposition et améliore la précision des rapports au niveau du conseil d’administration lorsque des incidents se produisent. Chacun de ces éléments se traduit directement par une prise de décision plus rapide et des résultats de récupération plus solides.

Les stratégies de confinement traditionnelles ne tiennent pas compte des relations de confiance basées sur les machines.

La plupart des organisations considèrent l’endiguement comme une isolation du réseau, déconnectant les machines infectées, arrêtant le mouvement latéral et commençant la récupération. Le problème est que cette méthode ne révoque pas les liens de confiance invisibles entre les systèmes. Les identités des machines, les clés API, les jetons chiffrés et les certificats continuent souvent à s’authentifier à travers les frontières du réseau longtemps après que la machine compromise a été supprimée. Les attaquants profitent de ces identifiants oubliés pour propager discrètement des Ransomware au sein d’environnements intégrés.

Les entreprises modernes s’appuient sur des écosystèmes numériques interconnectés où les identités des machines relient les systèmes, les clouds et les applications. Le confinement basé uniquement sur la topologie du réseau arrête les mouvements physiques, mais pas la confiance numérique. L’étude de Gartner souligne que les adversaires passent des jours, voire des mois, à gagner en persistance dans les réseaux en récoltant des informations d’identification. Au cours de cette phase, les comptes de service et les jetons d’API sont les actifs les plus fréquemment utilisés car ils peuvent se déplacer dans les systèmes avec un minimum de détection.

L’inquiétude est généralisée. Les données de CrowdStrike montrent que 76 % des organisations s’inquiètent de la propagation de Ransomware à partir d’hôtes non gérés sur des partages de réseau de PME, ce qui démontre que les frontières traditionnelles ne définissent plus la confiance ou le confinement. Pour les dirigeants, cela signifie que les politiques de confinement doivent évoluer pour identifier et révoquer toutes les chaînes de confiance actives dès qu’une brèche est détectée.

Les dirigeants devraient insister sur les protocoles de confinement qui incluent la révocation automatisée des informations d’identification et des procédures de vérification en aval. Les équipes de sécurité ont besoin d’outils capables d’évaluer instantanément les systèmes auxquels l’identité de chaque machine fait confiance et, en cas de compromission, de supprimer ces connexions. En renforçant le confinement par la révocation de la confiance, les entreprises empêchent les attaquants d’utiliser les informations d’identification résiduelles pour reprendre pied. Cette approche aligne les pratiques de confinement sur la nature distribuée et axée sur l’identité des opérations informatiques modernes et réduit considérablement le risque de réinfection après une brèche initiale.

Les systèmes de détection ne sont pas optimisés pour identifier les comportements anormaux en matière d’identité des machines.

La plupart des systèmes de détection sont conçus pour reconnaître les écarts dans le comportement humain, les connexions suspectes, les heures d’accès inhabituelles ou les changements dans les profils de mouvements de données. Ils ne sont pas conçus pour détecter des schémas irréguliers dans la manière dont les machines interagissent. Par conséquent, des anomalies telles que l’authentification de jetons API à partir de nouveaux emplacements, une augmentation inattendue des appels API ou des comptes de service fonctionnant en dehors des calendriers d’automatisation définis passent souvent inaperçues. Cette faiblesse donne aux attaquants plus de temps pour exploiter les systèmes à l’aide d’informations d’identification volées ou compromises.

Les résultats de l’enquête de CrowdStrike soulignent ce manque de visibilité. Quatre-vingt-cinq pour cent des équipes de sécurité reconnaissent que les méthodes de détection traditionnelles ne peuvent pas suivre le rythme de la nature des ransomwares modernes et des menaces basées sur l’identité. Pourtant, seulement 53 % d’entre elles ont déployé des solutions de détection alimentées par l’IA capables de surveiller l’activité au niveau des machines. Cela signifie que même lorsque les entreprises disposent de SOC sophistiqués, les comportements critiques liés à l’identité des machines ne sont pas détectés.

Pour les dirigeants, l’enjeu est stratégique. La logique de détection actuelle est optimisée pour un environnement centré sur le personnel, et non pour un environnement où les systèmes automatisés exécutent une grande partie de la charge de travail. La communication de machine à machine est désormais le moteur de processus commerciaux essentiels, et le fait d’ignorer cette couche crée une zone aveugle dans les cadres de détection des incidents. Pour y remédier, il faut agir sur deux fronts : étendre la logique de détection pour inclure la surveillance de base des identités des machines et donner aux équipes de sécurité les moyens de disposer d’informations prédictives grâce à l’IA.

Les décideurs devraient considérer cela comme un investissement à long terme. La détection avancée adaptée aux identités des machines réduit le temps d’attente, c’est-à-dire la période pendant laquelle les attaquants ne sont pas détectés, et accélère la précision de la réponse aux incidents. Cette approche vise à la fois l’efficacité et la résilience, en veillant à ce que l’infrastructure puisse diagnostiquer elle-même les irrégularités générées par les identités des machines sans surcharger les analystes ni perturber les opérations légitimes.

Les comptes de service obsolètes et orphelins présentent des vulnérabilités persistantes en matière de Ransomware.

Les comptes de service qui ne sont plus contrôlés ou qui ne font plus l’objet d’une rotation régulière se situent à l’intersection de la négligence et de l’exposition. Certains sont liés à d’anciens employés ou à des systèmes abandonnés. D’autres ont des mots de passe codés en dur qui n’ont pas été modifiés depuis des années. Ces comptes offrent aux attaquants des points d’entrée fiables qui contournent les contrôles d’authentification standard. Ils fonctionnent souvent avec des privilèges élevés, ce qui en fait un outil efficace pour le déploiement et la persistance des Ransomware.

La recherche de Gartner fournit une orientation partielle, soulignant l’importance d’une authentification forte pour les utilisateurs privilégiés, y compris les administrateurs et les comptes de service, mais ces recommandations apparaissent principalement dans des contextes de prévention, et non dans des procédures d’endiguement. Au moment où un événement de Ransomware se produit, de nombreuses organisations n’ont toujours pas atténué les risques liés aux comptes orphelins, ce qui oblige à une remédiation réactive plutôt qu’à un contrôle préemptif.

Les dirigeants devraient traiter la gestion des comptes orphelins comme une question de gouvernance. Les orphelins introduisent de l’incertitude, les équipes de sécurité ne savent souvent pas quels systèmes dépendent d’eux jusqu’à ce qu’une défaillance force la découverte. Les processus d’audit systématique et les calendriers de rotation automatisés devraient être des normes opérationnelles, et non des examens facultatifs. La mise en œuvre d’une gestion du cycle de vie des informations d’identification garantit que tous les comptes, humains ou machines, expirent ou sont renouvelés selon des paramètres contrôlés.

Pour les dirigeants, la priorité est de transformer le nettoyage des comptes orphelins d’une réflexion après coup en un objectif de performance mesurable pour la résilience de la sécurité numérique. Des audits réguliers réduisent les accès inutiles, limitent les mouvements latéraux potentiels et renforcent la capacité de l’organisation à démontrer sa conformité. Plus important encore, ils prouvent la discipline opérationnelle, une qualité qui définit si une entreprise peut répondre rapidement et avec confiance lorsque des adversaires ciblent ses points d’entrée les plus faibles.

L’émergence d’agents d’intelligence artificielle autonomes exacerbe le problème de la gestion de l’identité des machines

L’automatisation pilotée par l’IA remodèle les opérations des entreprises, mais elle multiplie également l’un des risques les plus urgents en matière de cybersécurité, les identités des machines. Chaque agent autonome introduit dans un réseau crée sa propre identité avec l’autorité de s’authentifier, de faire des demandes et d’exécuter des actions. Lorsque ces identités s’étendent sans contrôle, elles élargissent considérablement la surface d’attaque. De nombreuses organisations ont déjà du mal à gérer les comptes de service et les jetons existants ; l’ajout de systèmes intelligents et autonomes sans une gouvernance solide rend ce défi encore plus grand.

Le rapport 2026 d’Ivanti met en évidence cette tension. Il révèle que 87 % des professionnels de la sécurité considèrent l’intégration de l’IA agentique comme une priorité stratégique et que 77 % sont à l’aise avec l’IA autonome agissant sans surveillance humaine. Pourtant, seuls 55 % d’entre eux ont mis en place des garde-fous formels pour contrôler cette autonomie. Ce décalage signifie que l’enthousiasme de l’industrie pour l’innovation dépasse sa volonté de la sécuriser. Chaque nouvel agent d’IA créé sans surveillance peut devenir une passerelle pour un accès non autorisé ou une escalade des privilèges.

Les dirigeants doivent faire de la gouvernance une préoccupation de premier ordre, et non une réflexion après coup, dans leurs feuilles de route en matière d’IA. Les technologies autonomes nécessitent des contrôles d’identité aussi rigoureux et traçables que ceux qui régissent l’accès humain. Chaque agent d’IA doit disposer d’informations d’identification liées à une politique, de privilèges prédéterminés et de délais de conservation. Ces mesures sont directement liées à la résilience. Sans elles, les entreprises risquent d’introduire des milliers d’identités non gérées, capables d’agir de manière indépendante avec peu de responsabilité.

Les dirigeants devraient considérer ces contrôles comme des facilitateurs, et non comme des contraintes. Une gouvernance solide accroît la confiance dans les systèmes d’IA et accélère leur adoption en toute sécurité dans les unités opérationnelles. L’automatisation qui génère l’efficacité opérationnelle peut également assurer la sécurité à grande échelle, si la gestion des identités évolue au même rythme que le déploiement de l’IA. C’est grâce à cet équilibre que les entreprises transformeront l’automatisation d’un risque de sécurité en un avantage concurrentiel durable.

L’impact économique des Ransomware nécessite l’intégration de mesures de sécurité de l’identité des machines

Le coût des Ransomware va bien au-delà du paiement des rançons. Gartner estime que les frais de récupération peuvent atteindre dix fois le montant de la rançon, en tenant compte des temps d’arrêt, de la restauration des données et de la perte de productivité. CrowdStrike indique que les coûts moyens d’indisponibilité atteignent à eux seuls 1,7 million de dollars par incident, les organisations du secteur public atteignant en moyenne 2,5 millions de dollars. Pire encore, le paiement ne garantit pas le soulagement : 93 % des entreprises qui ont payé ont tout de même subi un vol de données et 83 % ont été victimes d’une autre attaque par la suite. Ces statistiques montrent que ce sont les échecs de confinement, et non le montant de la rançon, qui définissent le véritable risque économique.

Les ransomwares prospèrent dans les écosystèmes d’identité non gérés. Les identités des machines non gérées offrent aux attaquants des voies d’accès aux réseaux qui sont invisibles pour les défenses standard. Le renforcement de la sécurité des identités des machines, par le biais d’un inventaire complet, d’une rotation automatisée, d’une révocation de confiance en temps réel et d’une détection des anomalies, est l’une des rares actions qui réduisent de manière démontrable le temps de récupération et le montant total des dommages financiers. Il transforme les réponses de l’endiguement réactif en résilience proactive.

Pour les dirigeants, il s’agit d’une décision financière autant que technique. L’amélioration de la gouvernance des identités des machines influe directement sur le contrôle des coûts, l’intégrité des données et la confiance des investisseurs. Lorsqu’une organisation peut se rétablir en quelques heures au lieu de quelques jours, et empêcher les attaquants de s’introduire à nouveau dans l’entreprise, sa continuité opérationnelle se stabilise instantanément. L’intégration de mesures de sécurité axées sur l’identité transforme les dépenses de reprise réactives en investissements stratégiques planifiés dans la durabilité de l’organisation.

Pour aller de l’avant, il faut changer de perspective. La cybersécurité doit être traitée comme un système commercial dynamique, en surveillant les actifs, en évaluant les risques en temps réel et en alignant les décisions sur des objectifs de résilience mesurables. Alors que les menaces évoluent, l’identité reste le fondement de la défense. Sécuriser les identités des machines ne consiste pas seulement à stopper les attaques, mais aussi à garantir la capacité de l’organisation à résister, à se rétablir et à continuer à fonctionner dans n’importe quel paysage numérique.

En conclusion

Le Ransomware n’est plus un problème de sensibilisation, c’est un problème d’exécution. La plupart des organisations connaissent les risques, mais peu d’entre elles ont adapté leurs opérations suffisamment rapidement pour y faire face. La plus grande lacune ne se situe pas au niveau du périmètre ou des contrôles des points d’extrémité, mais au niveau de l’identité. Les identités des machines sont aujourd’hui bien plus nombreuses que celles des humains, et pourtant la plupart des cadres de réponse aux incidents les traitent encore après coup.

Pour les dirigeants, ce moment exige une redéfinition des priorités. Les entreprises qui combleront les lacunes en matière d’identité les premières prendront les devants, non seulement en sécurisant les données, mais aussi en maintenant la continuité des opérations lorsque d’autres seront mises hors ligne. Une gouvernance solide de l’identité des machines doit passer d’un débat sur la sécurité à un impératif commercial. Elle affecte la protection des revenus, la réputation de la marque et la confiance des investisseurs aussi directement que les contrôles financiers ou les normes de conformité.

La voie à suivre est claire. Créez des inventaires en temps réel de toutes les informations d’identification des machines. Intégrez une détection automatisée adaptée au comportement des machines. Appliquez la rotation continue des informations d’identification et la révocation de la confiance dans tous les systèmes. Ces changements simplifient la récupération, réduisent les coûts et raccourcissent les cycles de réponse.

Les entreprises résilientes seront celles qui considèrent la sécurité de l’identité des machines comme une infrastructure de base, et non comme une défense supplémentaire. Dans un monde connecté et automatisé, la stabilité dépend de la rapidité avec laquelle une organisation peut voir, contrôler et protéger les systèmes qui agissent en son nom. Ces décisions doivent être prises par le conseil d’administration, et c’est maintenant qu’il faut les prendre.