L’AMF sait qui s’est connecté, mais pas ce qui se passe ensuite

Le champ d’action limité de l’AMF après l’ouverture de session

L’authentification multifactorielle (AMF) est généralement considérée comme l’ultime ligne de défense. Ce n’est pas le cas. Elle vérifie l’identité à un seul moment, la connexion, puis devient aveugle. Une fois les utilisateurs authentifiés, les jetons de session permettent un accès ininterrompu jusqu’à leur expiration. Les attaquants le savent. Ils n’ont pas besoin de contourner l’AMF ; ils attendent qu’elle réussisse, puis détournent les jetons valides pour passer d’un système à l’autre sans se faire remarquer.

Le problème principal réside dans la manière dont la confiance est gérée. Un jeton est un laissez-passer non contrôlé qui confère la même autorité que l’utilisateur qui l’a obtenu. Cet événement d’authentification peut être légitime, mais une fois compromis, il devient un moyen non contrôlé pour un attaquant d’étendre son contrôle. Le résultat est un système qui fonctionne exactement comme prévu, mais qui ne protège pas ce qui importe le plus, l’infrastructure au-delà de la connexion.

Pour les dirigeants de C-suite, cela révèle une vérité essentielle : la vérification de l’identité n’est pas une tâche accomplie à la porte. Il s’agit d’un processus continu qui doit perdurer tout au long du cycle de vie de la session. La validation continue, c’est-à-dire l’observation de ce qui se passe une fois l’accès accordé, est désormais essentielle. Les organisations doivent passer de la protection des points d’entrée à la protection des voies d’accès.

Selon le rapport 2026 Global Threat Report de CrowdStrike, le temps moyen de percée de la cybercriminalité est tombé à 29 minutes en 2025, l’attaque la plus rapide étant exécutée en 27 secondes seulement. Cette rapidité ne laisse aucune place à une défense réactive. Les dirigeants doivent penser en termes d’authentification continue, de systèmes qui réévaluent la confiance de manière dynamique au lieu de supposer qu’elle reste valide. Aujourd’hui, la sécurité ne consiste pas à empêcher les attaquants d’entrer. Il s’agit de surveiller ce qui se passe une fois qu’ils sont entrés.

Défauts architecturaux dans la gestion des jetons de session

Un nombre croissant d’entreprises, même celles qui disposent d’un système d’authentification forte, partagent la même faiblesse : des jetons de session qui ne peuvent pas être révoqués instantanément. Alex Philips, DSI de NOV, a découvert cette lacune lors de tests de systèmes. Il a découvert que la réinitialisation d’un mot de passe n’arrête pas un attaquant qui détient déjà un jeton valide. L’architecture elle-même n’était pas défaillante, elle était incomplète. Elle permettait à la confiance de persister indéfiniment une fois établie.

L’équipe de Philips a redéfini son approche. Elle a raccourci la durée de vie des jetons, appliqué des politiques d’accès conditionnel et intégré des mécanismes de révocation rapide dans sa pile d’identité. Chaque session privilégiée peut désormais être interrompue en l’espace de quelques minutes, ce qui permet de bloquer les mouvements latéraux avant que les attaquants ne puissent augmenter leurs privilèges. Il ne s’agissait pas d’un luxe, mais d’une nécessité liée au fait que les menaces modernes évoluent plus rapidement que les cycles de sécurité traditionnels.

Les dirigeants devraient en prendre note. La gestion des jetons n’est pas un problème informatique, c’est une question de continuité des activités. Une seule session compromise peut interrompre les opérations, exposer des données propriétaires et nuire à la réputation de la marque. La capacité à révoquer rapidement la confiance est désormais aussi importante que le fait de l’accorder en toute sécurité. Une réponse rapide et automatisée doit être considérée comme une fonction essentielle de la gouvernance des identités, et non comme une fonctionnalité.

Alex Philips l’a dit simplement : « Réinitialiser un mot de passe ne suffit plus. Vous devez révoquer instantanément les jetons de session pour stopper les mouvements latéraux ». Il a raison. Dans les entreprises modernes, la confiance ne peut être permanente ; elle doit être dynamique, gérée en temps réel et soutenue par des systèmes capables de s’adapter à la vitesse de la machine. Les chefs d’entreprise qui auront assimilé ce principe seront ceux dont les entreprises auront une longueur d’avance sur la prochaine vague d’intrusions invisibles.

Préférence pour le vol de données d’identification sur le déploiement de logiciels malveillants

Les attaquants se sont adaptés plus rapidement que la plupart des systèmes de sécurité. Ils ne s’appuient plus sur les logiciels malveillants lorsque des informations d’identification volées permettent d’atteindre le même objectif sans être détecté. La protection moderne des points d’accès est solide, coûteuse à contourner et alerte instantanément les défenseurs en cas d’apparition de logiciels malveillants. En comparaison, le vol d’informations d’identification est silencieux et rentable, et un pirate peut opérer avec les mêmes autorisations qu’un employé de confiance.

Adam Meyers, vice-président senior des opérations de lutte contre les adversaires chez CrowdStrike, a souligné que les adversaires ont compris que le chemin le plus simple pour pénétrer dans un réseau est celui de l’accès légitime. Les mots de passe et les jetons de session volés héritent de toutes les autorisations détenues par le véritable utilisateur et ne déclenchent pas d’alarme immédiate. Cette tactique a modifié le paysage des menaces : les systèmes de sécurité qui recherchaient auparavant des codes malveillants sont désormais confrontés à des attaquants qui jouent selon les propres règles du système.

Les dirigeants doivent reconnaître que cette évolution fait des couches humaines et identitaires les cibles les plus précieuses. Les pare-feu traditionnels ou les outils antivirus n’arrêtent plus la majorité des intrusions. Les défenses efficaces se concentrent sur la détection des comportements anormaux des utilisateurs et sur la validation continue de l’intégrité des sessions. Il ne s’agit pas d’arrêter les fichiers, mais de vérifier les actions qui semblent légitimes mais qui se produisent dans un contexte inapproprié.

Les données parlent d’elles-mêmes. Le 2025 Global Threat Report de CrowdStrike a enregistré une augmentation de 442 % des attaques de phishing vocal (vishing) au cours des six premiers mois de l’année 2024. Les courriels d’hameçonnage générés par l’IA générés par l’IA ont atteint un taux de clics de 54 %, égalant les messages humains rédigés par des experts et dépassant de loin le taux de 12 % pour le phishing en vrac. Le rapport 2025 Voice Intelligence & Security Report de Pindrop a révélé une augmentation de 1 300 % des tentatives de fraude par deepfake en 2024 et un bond de 704 % des attaques par échange de visage en 2023. Ces chiffres indiquent une usurpation d’identité à l’échelle industrielle alimentée par des outils d’IA bon marché et accessibles.

Pour les dirigeants, la conclusion est simple. La sécurité doit évoluer au-delà de la détection des fichiers malveillants. Elle doit désormais comprendre et vérifier les intentions. Cela signifie des contrôles d’accès plus stricts, des analyses plus intelligentes et une surveillance en temps réel du comportement des identités une fois qu’elles sont dans le système. La menace s’est déplacée vers l’invisible, et la défense doit en faire autant.

Érosion de la confiance dans la vérification traditionnelle de l’identité

Les outils auxquels les entreprises faisaient autrefois confiance pour confirmer l’identité, les empreintes digitales, la reconnaissance vocale, les scanners faciaux, perdent de leur fiabilité. L’IA générative a brouillé les frontières entre le réel et le synthétique, produisant des répliques exactes qui passent facilement les contrôles biométriques. Les entreprises qui dépendent uniquement de ces méthodes risquent de se tromper de confiance.

Les « deepfakes » et les voix reproduites par l’IA peuvent se faire passer pour des cadres, des employés ou des clients suffisamment longtemps pour approuver des transactions ou autoriser des accès. À mesure que ces technologies s’améliorent, le coût de création de faux convaincants se rapproche de zéro. Il devient pratiquement impossible d’identifier l’authenticité sans une validation multicouche.

Selon les prévisions de Gartner pour 2024, 30 % des entreprises ne feront plus confiance à la seule vérification d’identité basée sur le visage ou la biométrie d’ici à 2026. Cette projection reflète un changement critique dans tous les secteurs d’activité : se fier à une seule méthode d’authentification, aussi sophistiquée soit-elle, est désormais très risqué. La norme doit évoluer vers des méthodes résistantes à l’hameçonnage, telles que FIDO2 et l’authentification basée sur des clés de passage, qui reposent sur une validation cryptographique liée au matériel plutôt que sur des caractéristiques observables pouvant être imitées.

Les dirigeants devraient interpréter cette tendance comme un avertissement stratégique. La confiance dans l’identité doit devenir conditionnelle et être réévaluée en permanence. Investir dans des systèmes qui intègrent l’analyse comportementale, la réputation des appareils et l’authentification par jeton garantit la résilience face à la sophistication inévitable de la tromperie induite par l’IA. L’ère de la confiance statique est révolue ; la vérification dynamique est la seule voie durable à suivre.

Les silos entre IAM et SecOps créent des vulnérabilités

Les équipes de gestion des identités et des accès (IAM) et les équipes des opérations de sécurité (SecOps) travaillent souvent séparément, ce qui fragmente le contrôle de la gouvernance des identités et des sessions. Cette séparation crée des lacunes invisibles où les attaquants prospèrent, des lacunes entre l’authentification, la surveillance et la réponse. L’IAM s’assure que les bons utilisateurs se connectent, tandis que les SecOps se concentrent sur la surveillance des menaces actives. Le problème se situe au milieu, là où les sessions actives vivent sans visibilité totale d’un côté ou de l’autre.

Kayne McGladrey, membre senior de l’IEEE, souligne que les organisations classent souvent à tort ce problème comme un risque de cybersécurité plutôt que comme un risque commercial direct. Ce malentendu conduit à des budgets limités et à des retards dans les mesures correctives. En réalité, une mauvaise gouvernance des sessions peut se traduire directement par des temps d’arrêt opérationnels, une exposition des données et des pertes financières. Sans aligner IAM et SecOps, aucune équipe n’est responsable de la révocation des sessions compromises ou de la corrélation de l’activité entre l’identité, les terminaux et le cloud.

Les données confirment que l’écart se creuse. Le rapport 2026 State of Cybersecurity Report d’Ivanti a révélé que l’écart de préparation entre l’évolution des menaces et des défenses s’est creusé en moyenne de 10 points en seulement un an chez les 1 200 professionnels interrogés. Mike Riemer, Field CISO d’Ivanti, a observé le même décalage au cours des décennies qu’il a passées dans le secteur : chaque changement de technologie ajoute de la complexité, mais la propriété de la sécurité de la couche d’identité reste dispersée.

Pour les dirigeants, il s’agit d’une question d’organisation plutôt que d’une question technique. Pour combler ce fossé, il faut une responsabilité partagée et une télémétrie unifiée. L’IAM et les SecOps doivent travailler à partir d’une plateforme intégrée capable de visualiser, d’évaluer et de mettre fin instantanément aux sessions à risque. Traiter la gouvernance des identités comme une responsabilité commune garantit que la détection et la réponse s’étendent à tous les systèmes où l’identité d’un utilisateur est active.

Nécessité d’une surveillance post-authentification continue, alimentée par l’IA

L’authentification sans évaluation permanente de la confiance n’est plus suffisante. Les attaquants exploitent les informations d’identification valides précisément parce que les systèmes supposent que la confiance reste constante une fois qu’elle a été vérifiée. Pour contrer cela, les organisations ont besoin d’une surveillance continue, d’une analyse en temps réel qui surveille le comportement, le contexte et les anomalies tout au long de la session. L’intelligence artificielle joue aujourd’hui un rôle essentiel pour rendre cela possible à l’échelle de l’entreprise.

Mike Riemer, Field CISO chez Ivanti, a clairement expliqué ce principe : « Tant que je ne sais pas qui est de l’autre côté du clavier, je ne vais pas communiquer. Cette phrase résume l’essence de la validation continue. L’IA peut examiner les schémas d’accès, les changements d’appareil, les déplacements, les abus de privilèges et déclencher une réauthentification immédiate ou une révocation de session lorsque les activités s’écartent des normes attendues.

Pour les dirigeants, cela signifie que l’IA ne doit pas être considérée comme une amélioration facultative, mais comme une nécessité structurelle. La vérification continue alimentée par l’IA réduit considérablement le temps qui s’écoule entre la compromission et l’endiguement. Elle adapte la réponse, permettant à l’organisation d’agir avant que les attaquants ne parviennent à un mouvement latéral ou à l’exfiltration de données.

La surveillance par l’IA permet également de gagner en efficacité. Au lieu de submerger les équipes humaines d’alertes, les systèmes automatisés peuvent donner la priorité aux événements qui indiquent réellement un risque. Cela réduit la pression opérationnelle et garantit que l’attention est dirigée là où elle compte le plus. Dans un environnement où les attaquants peuvent pénétrer dans les systèmes en moins d’une demi-heure, l’automatisation de la gestion de la confiance n’est plus une perspective d’avenir, c’est une obligation.

Les entreprises qui intègrent l’IA dans leur gestion du cycle de vie des identités gagnent plus que de la sécurité. Elles gagnent en rapidité, en précision et en confiance dans la manière dont elles contrôlent les accès. Cette approche transforme l’authentification d’un point de contrôle unique en un processus continu de vérification dynamique, garantissant que les utilisateurs restent ceux qu’ils prétendent être tant que leur session existe.

Les stratégies de NOV comme modèle pour combler le fossé après l’AMF

L’expérience de NOV met en évidence une faille structurelle commune aux grandes entreprises et démontre comment une exécution disciplinée peut la combler. Après avoir découvert que les jetons de session ne pouvaient pas être révoqués assez rapidement pour arrêter les mouvements latéraux, Alex Philips, DSI de NOV, a mené une refonte complète de son cadre d’identité. Son équipe a mis en place des passerelles de confiance zéro qui imposent une réauthentification conditionnelle pour chaque action importante. La durée de vie des jetons a été ramenée de quelques jours à quelques heures. L’accès conditionnel prend désormais en compte plusieurs points de données, notamment l’appareil, l’emplacement et le niveau de privilège, avant d’accorder ou de maintenir l’accès.

NOV a également intégré l’IA dans son système de gestion des informations et des événements de sécurité (SIEM) afin d’analyser les événements d’identité en temps quasi réel. Cela a permis de détecter rapidement les comportements anormaux dans les sessions actives. L’architecture de sécurité a été conçue pour supprimer toute session active en quelques minutes dès qu’une menace est détectée. L’équipe de Philips a établi une séparation des tâches afin qu’aucun utilisateur ou compte de service ne puisse réinitialiser les informations d’identification, outrepasser les politiques ou contourner les contrôles multi-facteurs. Des changements d’une telle ampleur ont nécessité un alignement interne fort, mais ont abouti à une structure dans laquelle les attaquants ont beaucoup moins de temps et d’opportunités.

Alex Philips a souligné l’importance de l’application de la gouvernance : « La réinitialisation d’un mot de passe ne suffit plus. Vous devez révoquer instantanément les jetons de session pour arrêter les mouvements latéraux ». Il a également identifié une menace croissante dans la manière dont les organisations confirment les incidents. Lorsque la vérification repose sur des appels téléphoniques, des textes ou des messages vocaux, les faux médias générés par l’IA peuvent exploiter la confiance humaine. Son équipe a introduit des protocoles secrets partagés à l’avance, des questions ou des clés connues uniquement par les équipes internes, afin de vérifier l’authenticité sans indices vocaux ou visuels.

Pour les dirigeants, le résultat de l’enquête NOV fournit une feuille de route claire. La protection des activités postérieures à l’ouverture de session nécessite une mise en œuvre technologique et un changement culturel. L’authentification ne doit pas s’arrêter à la réussite de l’AFM ; elle doit s’étendre à l’ensemble du cycle de vie de l’identité. Une combinaison structurée d’accès conditionnel, de révocation rapide des jetons et de protocoles de validation humaine offre aux entreprises une résilience mesurable contre les attaques basées sur les informations d’identification et les sessions.

Mesures concrètes pour limiter les risques d’exploitation de l’identité

Les entreprises confrontées aux mêmes problèmes de post-authentification peuvent prendre des mesures immédiates et mesurables. La première étape consiste à obtenir le rapport sur la durée de vie des jetons de session pour chaque compte d’utilisateur, en particulier les comptes privilégiés et de service, et à raccourcir les périodes de validité à quelques heures au lieu de quelques jours. Deuxièmement, les équipes doivent effectuer des exercices de révocation de session en direct. L’objectif est de tuer une session active compromise en moins de cinq minutes. Si cela n’est pas possible, l’organisation reste exposée.

Ensuite, unifiez la visibilité sur les plateformes d’identité, de terminaux et de cloud afin que les analystes puissent tracer les actions des utilisateurs, de la connexion à l’exécution, sans changer d’outil ou dépendre d’une corrélation manuelle des données. Étendez les contrôles d’accès conditionnels au-delà de l’authentification initiale ; revalidez l’identité pour chaque escalade de privilège sensible ou connexion interrégionale. Remplacez le MFA basé sur le push ou le SMS par des systèmes FIDO2 ou passkey résistants au phishing, qui sont cryptographiquement liés aux appareils physiques et ne peuvent pas être rejoués.

L’équipe de Philips a également vérifié la séparation des tâches. Elle s’est assurée qu’aucune personne ni aucun processus d’automatisation ne pouvait à la fois initier et approuver la réinitialisation des informations d’identification. Cela a permis d’éliminer les points de défaillance uniques et de réduire les risques d’utilisation abusive en interne. L’ajout d’un protocole de vérification hors bande avec des secrets pré-partagés a encore renforcé la réponse aux incidents contre les tentatives d’usurpation d’identité.

Enfin, allouez un budget dédié à la gouvernance de la couche d’identité. Cela garantit un investissement continu dans le contrôle du cycle de vie des jetons, les normes telles que les protocoles d’évaluation adaptative continue (CAEP) et les cadres tels que les signaux partagés qui relient les opérations d’identité et de sécurité.

Pour les dirigeants, ces étapes définissent le point d’intersection entre la sécurité et les performances de l’entreprise. Elles transforment la gestion des identités d’une mesure de conformité statique en une capacité de défense adaptative. Appliquées de manière cohérente, elles créent un environnement où la confiance est mesurable, réversible et toujours sous le contrôle de l’entreprise.

Repenser l’authentification comme point de départ d’une sécurité continue

La plupart des organisations considèrent encore l’authentification multi-facteurs (AMF) comme le point où les responsabilités en matière de sécurité s’arrêtent. En réalité, ce moment devrait marquer le début d’une surveillance continue. L’authentification établit l’identité une fois, mais la confiance dans l’identité se dégrade plus une session reste non contrôlée. Les attaques modernes exploitent ce faux sentiment d’achèvement en opérant entièrement au sein de sessions authentifiées.

Alex Philips, DSI de NOV, a été clair sur ce point : « La réinitialisation d’un mot de passe ne suffit plus. Vous devez révoquer instantanément les jetons de session pour stopper les mouvements latéraux ». Les travaux de son équipe ont prouvé que la défense post-authentification est à la fois possible et nécessaire. En se concentrant sur la fin rapide de la session, la vérification conditionnelle et la détection des anomalies par l’IA, NOV a transformé l’authentification en un processus vivant qui évolue au fur et à mesure que la session se déroule. Cette transformation a permis de réduire le temps pendant lequel les attaquants pouvaient rester indétectés et de faire de la vérification de l’identité une partie intégrante de chaque décision opérationnelle.

Mike Riemer, Field CISO chez Ivanti, a renforcé le même principe d’un point de vue plus large. Il a déclaré : « Tant que je ne sais pas qui est de l’autre côté du clavier, je ne vais pas communiquer ». Cet état d’esprit reconnaît que l’identité est fluide, qu’elle doit être validée en permanence par le contexte, le comportement et l’état du système. Il s’agit d’une discipline moderne d’évaluation continue de la confiance, et non d’un événement statique.

Les dirigeants doivent considérer ce changement comme stratégique et non comme une procédure. Traiter l’authentification comme un processus dynamique renforce à la fois la posture de sécurité et la résilience de l’entreprise. Il faut pour cela unir la gestion des identités, l’automatisation et l’analyse dans le cadre d’une mission commune : la vérification durable. Les entreprises qui adoptent ce modèle minimisent les fenêtres d’exposition, réduisent les risques opérationnels et préservent l’agilité à grande échelle.

Le message à l’intention des dirigeants est simple. L’authentification n’est plus un événement ponctuel, mais une conversation permanente entre les systèmes, les utilisateurs et les comportements. Les entreprises qui s’adaptent à ce modèle de vérification continue jettent les bases d’une sécurité durable et adaptative, qui évolue au rythme de la technologie et des adversaires qui l’exploitent.

En conclusion

L’identité est désormais le principal champ de bataille de la cybersécurité. Les attaquants n’ont plus besoin d’écrire un code complexe ; il leur suffit d’avoir l’air légitime. Ils exploitent la confiance qui a été gagnée une fois et qui n’a jamais été remise en question. C’est là que la sécurité de l’entreprise doit évoluer, en passant de la vérification de l’accès à la validation continue de la confiance.

Pour les décideurs, la voie à suivre est claire. Traitez l’identité comme un signal vivant, et non comme un titre de propriété statique. Construisez des systèmes qui réévaluent la confiance de manière dynamique, utilisez l’IA pour surveiller le comportement en temps réel et donnez aux équipes la possibilité de supprimer instantanément les sessions compromises. Ces capacités ne sont pas des mises à jour techniques, mais des nécessités opérationnelles.

Les dépenses en matière de cybersécurité se concentrent souvent sur les menaces visibles. La prochaine ère de la défense concerne celles que vous ne pouvez pas voir. Lorsque l’authentification devient permanente et contextuelle, l’identité passe du statut de maillon faible à celui de preuve de contrôle la plus solide. Ce changement définit les entreprises qui resteront maîtres de leurs systèmes, de leurs données et de leur avenir.