Les intrusions basées sur l’identité dominent désormais les menaces de cybersécurité
Aujourd’hui, la plupart des cyberattaques ne reposent pas sur des logiciels malveillants. La majorité des brèches se produisent parce que les attaquants se connectent simplement en utilisant de vraies informations d’identification volées. Cela signifie qu’ils ne traversent pas les murs, mais qu’ils franchissent des portes ouvertes.
Cette évolution place l’identité au centre de la sécurité des entreprises. Le 2025 Global Threat Report de CrowdStrike montre que 79 % des attaques sont désormais exemptes de logiciels malveillants et que 90 % des organisations ont subi des intrusions liées à l’identité au cours de l’année écoulée. Parmi elles, 80 % affirment que les dommages auraient pu être limités si de meilleurs outils d’identité avaient été mis en place. C’est clair : l’identité est devenue le principal vecteur d’intrusion.
Les professionnels de la sécurité se concentrent souvent sur les défenses périmétriques, telles que les pare-feu et les logiciels antivirus. Mais les attaquants n’ont plus besoin de franchir ce périmètre s’ils disposent déjà d’informations d’identification valides. Les mesures de sécurité traditionnelles sont donc dépassées. Ce qu’il faut, c’est une surveillance continue des identités, des systèmes capables de détecter les anomalies de comportement en temps réel et d’agir immédiatement.
La sécurisation de l’identité n’est plus seulement un problème informatique. C’est une priorité opérationnelle qui a un impact sur la confiance des clients, l’intégrité des données et la continuité des activités. Vous n’avez pas besoin d’une armée d’analystes, mais d’outils intelligents qui reconnaissent les comportements suspects dès qu’ils se produisent.
Cristian Rodriguez, Field CTO pour les Amériques chez CrowdStrike, l’a clairement exprimé : « Les attaquants n’entrent plus par effraction, ils se connectent. Il a raison. C’est pourquoi la sécurité doit passer de la surveillance des bâtiments à celle des identités. Traitez chaque connexion comme un événement potentiellement dangereux jusqu’à preuve du contraire. La protection proactive de l’identité n’est pas une option, c’est désormais une exigence critique pour l’entreprise.
L’IA générative accélère à la fois la sophistication des attaques et les capacités de défense en matière de sécurité des identités.
L’IA générative a changé la donne, tant sur le plan offensif que défensif. Les attaquants utilisent désormais l’IA pour créer des escroqueries très convaincantes. Les attaques de phishing vocal (vishing) et de deepfake se développent rapidement. Entre le premier et le second semestre 2024, les attaques de vishing ont augmenté de 442 %. Il ne s’agit pas d’escroqueries d’amateurs ; elles sont automatisées, évolutives et difficiles à détecter.
C’est un côté de la médaille. L’autre côté est plus prometteur.
Les défenseurs ont désormais accès à des outils d’IA générative qui s’adaptent et réagissent instantanément. Ces plateformes créent des lignes de base comportementales, comprenant ce à quoi ressemble l’activité normale d’un utilisateur, de sorte qu’elles peuvent repérer les écarts en temps réel. Si un compte se comporte soudainement en dehors de ses habitudes, l’accès peut être bloqué, les privilèges révoqués ou l’authentification renforcée.
C’est ce qui se passe à grande échelle. Chez Cushman & Wakefield, une société immobilière internationale comptant 50 000 employés, les systèmes de sécurité traditionnels ne pouvaient tout simplement pas suivre. Trop d’utilisateurs distants, trop d’activités, trop de complexité. Les choses n’évoluaient pas. Eric Hart, leur RSSI mondial, a déclaré : « Nous avions besoin d’une protection de l’identité en temps réel qui puisse s’intégrer de manière transparente dans notre stratégie de sécurité plus large. » Ils ont opté pour Falcon Next-Gen Identity Security de CrowdStrike, une plateforme alimentée par l’IA qui surveille chaque compte d’utilisateur, de machine, d’application et de service.
Ces plateformes ne se contentent pas de détecter les menaces plus rapidement. Elles empêchent les attaquants de se déplacer latéralement, de passer d’un système à l’autre, lorsque les informations d’identification sont compromises. Ce laps de temps est essentiel.
Cristian Rodriguez, de CrowdStrike, a insisté sur ce point : « Avec l’IA générative, les défenseurs disposent enfin d’outils capables d’apprendre, de s’adapter et de réagir en temps réel. C’est ce qui change : les attaques à la vitesse de la machine nécessitent désormais des défenses à la vitesse de la machine.
Dans ce bras de fer entre attaquants et défenseurs, ceux qui adoptent l’IA avanceront plus vite. Une seule règle s’impose : s’adapter ou rester à la traîne. L’IA n’est pas une question d’avenir ; elle est déjà en train de redéfinir le paysage des menaces. Utilisez-la.
Les identités des machines dépassent largement les identités humaines, ce qui exige des systèmes de sécurité fonctionnant à la vitesse des machines.
Les entreprises d’aujourd’hui sont guidées par l’automatisation, les services cloud et les applications distribuées. Cet environnement a entraîné une croissance massive des identités des machines, depuis les comptes de service et les API jusqu’aux microservices et aux robots agissant de manière autonome dans les infrastructures. L’échelle n’est même plus proche. En moyenne, les identités des machines sont 45 fois plus nombreuses que celles des utilisateurs humains. Il ne s’agit pas d’une petite marge, mais d’un écart sismique.
Le problème est que la plupart des outils de sécurité de l’identité n’ont jamais été conçus pour gérer un tel volume ou une telle vitesse. Ils s’appuient sur des règles statiques et des révisions périodiques, trimestrielles ou plus longues, pour repérer les abus ou les autorisations excessives. Ce cycle est trop lent. Les acteurs de la menace peuvent s’introduire dans une identité et se déplacer latéralement dans un réseau en seulement 51 secondes. Ces chiffres ne sont pas théoriques. C’est ce que la télémétrie en temps réel de CrowdStrike a mesuré dans des environnements de production.
Les organisations qui ne se sont pas modernisées sont exposées. Plus il existe d’identités de machines sans gestion rigoureuse, plus il est facile pour les attaquants de compromettre l’infrastructure et de passer inaperçus plus longtemps. Les politiques d’accès statiques, les limites de privilèges configurées manuellement et la renormalisation retardée permettent aux menaces de se propager avant qu’une alarme ne soit déclenchée.
Si votre architecture de sécurité ne fonctionne pas à la vitesse de la machine, vous aurez des angles morts. Il ne s’agit pas seulement d’inefficacités opérationnelles, mais de faiblesses exploitables. Le traitement des données en temps réel, la validation continue de l’identité et les ajustements d’accès automatisés ne sont plus des capacités marginales. Ils doivent faire partie intégrante de votre structure d’identité.
Les dirigeants doivent penser au-delà de la gouvernance traditionnelle. Les identités des machines nécessitent la même visibilité et la même adaptation que les identités des utilisateurs. Les systèmes intelligents doivent les traiter comme des citoyens de première classe en matière de sécurité, capables d’être surveillés, audités et, surtout, arrêtés ou réautorisés instantanément en cas de changement de comportement. C’est la seule stratégie viable contre les attaques qui sont aussi rapides, automatisées et persistantes.
Les systèmes existants de gestion des identités et des accès (IAM) et les modèles d’évaluation des vulnérabilités ne sont plus efficaces.
Les systèmes IAM traditionnels ont été conçus pour la stabilité et non pour l’adaptabilité. Ils appliquent des règles d’accès basées sur des modèles fixes, des autorisations de groupe, des attributions de rôles, des examens programmés. Cette structure fonctionnait dans des environnements plus simples. Elle ne tient plus la route aujourd’hui.
Aujourd’hui, les menaces s’adaptent en temps réel. Elles exploitent le moindre retard, et c’est précisément la raison pour laquelle les modèles d’accès statiques et les systèmes d’évaluation des vulnérabilités dépassés tels que CVSS ne sont pas à la hauteur. Les chiffres le prouvent. Selon Ivanti, 73 % des vulnérabilités activement exploitées n’étaient classées que comme « importantes » dans les systèmes traditionnels, et non comme « critiques ». En d’autres termes, les équipes de sécurité, qui suivent les normes en vigueur, ont réduit la priorité accordée à des menaces majeures sans s’en rendre compte.
Les processus traditionnels supposent que vous pouvez réagir demain ou la semaine prochaine. L’environnement actuel des menaces rend cette hypothèse dangereuse. L’établissement des priorités doit s’appuyer sur des informations en temps réel sur les menaces, et non sur des scores historiques. Les systèmes d’entreprise doivent évaluer la gravité des vulnérabilités non seulement en fonction du risque technique, mais aussi des données d’exploitation réelles, de l’impact potentiel et de la criticité des actifs concernés.
Les plateformes basées sur l’IA résolvent ce problème en évaluant dynamiquement les vulnérabilités à l’aide de données en temps réel, en déterminant si un exploit est dans la nature, quelle est la probabilité qu’il soit ciblé et quelle est l’importance de l’actif dans votre architecture. La solution d’IA d’Ivanti, par exemple, permet aux équipes de sécurité de corriger les vulnérabilités critiques 85 % plus rapidement que les flux de travail traditionnels.
Pour les responsables des budgets de sécurité et de la résilience opérationnelle, cette différence se traduit par une valeur réelle. Vous réduisez l’exposition aux risques plus rapidement, vous réagissez plus vite et vous évitez des efforts de remédiation coûteux une fois que les dégâts sont faits.
Mike Riemer, Field CISO chez Ivanti, l’a dit directement : « Les scores CVSS traditionnels sont pratiquement sans valeur pour l’établissement des priorités ». Il n’exagère pas. Sans intelligence en temps réel et sans notation adaptative, vos outils de hiérarchisation des menaces sont trop lents et, dans certains cas, activement trompeurs.
Vous ne pouvez pas vous fier aux hypothèses d’hier pour gérer les risques d’aujourd’hui. Les systèmes intelligents d’IAM et de vulnérabilité, améliorés par l’IA, identifient les menaces les plus importantes et éliminent les délais de réponse. C’est une bonne sécurité, et c’est une sécurité efficace.
Les grands modèles de langage (LLM) révolutionnent la gouvernance des identités en intégrant l’identité directement dans le raisonnement de l’IA.
Les grands modèles de langage ne se contentent plus d’aider à la génération de textes. Ils remodèlent activement la manière dont les organisations gèrent les identités numériques. Les systèmes traditionnels de gouvernance des identités traitent les autorisations et la logique d’accès comme des configurations externes, quelque chose que vous vérifiez. Les LLM adoptent une approche différente. Ils peuvent intégrer le contexte de l’identité directement dans leurs processus de prise de décision. Ainsi, l’identité n’est plus seulement une couche de politique, mais fait partie du raisonnement de l’IA en temps réel.
Cela est important car les organisations s’appuient de plus en plus sur des systèmes d’IA pour prendre des décisions en direct, qui impliquent souvent des flux de travail ou un accès aux données sensibles. Dans ces scénarios, la vérification de l’identité doit être profondément intégrée. L’IA doit savoir pour qui elle agit, ce que l’utilisateur est autorisé à faire et si son comportement s’écarte des modèles attendus.
Carter Rees, vice-président de Reputation chargé de l’IA, explique bien ce changement : « Nous évoluons vers un cadre d’intégration de l’identité dans lequel les autorisations basées sur les rôles et les bases comportementales sont encodées directement dans le raisonnement du modèle, et pas seulement appliquées dans les tableaux de bord des administrateurs ». Il a également mis en garde contre les risques : « Les données d’intégration des utilisateurs sont des artefacts d’identité sensibles […]. Ils doivent être cryptés, surveillés et régis par les lois HIPAA et GDPR. »
Les responsables de la sécurité doivent traiter ces éléments intégrés par l’utilisateur comme des informations d’identification. Ils peuvent exposer des données personnelles ou protégées s’ils ne sont pas manipulés correctement. La recherche a démontré l’existence d’attaques par inversion d’intégration, qui permettent de reconstituer des données privées à partir d’entrées de modèle. Ainsi, à mesure que l’identité se rapproche de la couche logique de l’IA, les garde-fous doivent être plus solides et s’aligner par défaut sur les réglementations en matière de protection de la vie privée.
Les recherches menées dans le cadre du projet USER-LLM de Google appuient ces développements. L’utilisation de l’attention croisée sur l’intégration de l’utilisateur pendant l’inférence de l’IA améliore la précision et les résultats sont mieux liés au contexte réel de l’utilisateur. Mais cela confirme également la nécessité de disposer de modèles de sécurité plus solides et de limites d’identité plus claires dans les déploiements d’IA à grande échelle.
L’intégration de l’identité dans l’IA n’améliore pas seulement la confiance, elle change la façon dont les décisions prises par l’IA peuvent être auditées et contrôlées. Pour les dirigeants qui déploient l’IA dans des secteurs réglementés tels que la santé, la finance ou les infrastructures critiques, c’est là que la valeur et la conformité se croisent.
Les déploiements réels de plateformes d’identité basées sur l’IA génèrent des avantages opérationnels significatifs.
L’IA générative n’est plus une spéculation. Elle est déployée dans des entreprises internationales, et les résultats sont cohérents, avec une meilleure vitesse, moins d’erreurs et des résultats plus solides en matière de sécurité. Pour les RSSI et les équipes dirigeantes qui évaluent le retour sur investissement, il ne s’agit plus de potentiel. Il s’agit de preuves opérationnelles.
Les plateformes d’entreprise qui utilisent l’IA pour la protection de l’identité obtiennent des résultats que les systèmes manuels ne peuvent tout simplement pas égaler. Chez Land O’Lakes, le temps d’investigation des incidents est passé de huit heures à 38 minutes, soit une amélioration de 92 %. Cela signifie que les équipes de sécurité ne cherchent pas à résoudre des alertes mineures pendant des heures. Elles se concentrent sur les menaces vérifiées et les résolvent rapidement.
Ces plateformes établissent des lignes de base comportementales pour chaque identité, utilisateur, machine ou agent d’IA, puis surveillent les écarts. Cela inclut les comptes de service qui accèdent habituellement à dix ressources et qui en touchent soudainement des centaines. Ces systèmes agissent instantanément : en renforçant l’authentification, en mettant à jour les groupes de privilèges ou en fermant les sessions si nécessaire. Le tout sans intervention humaine.
Les privilèges excessifs, un problème dans la plupart des environnements, ont également été considérablement réduits. Capital One et Fidelity Investments ont utilisé des outils pilotés par l’IA de SailPoint et ForgeRock pour réduire les autorisations inutiles de 95 % en l’espace de six mois. Cela permet non seulement de resserrer l’accès, mais aussi de réduire la surface d’attaque globale. Vous réduisez le nombre de chemins exploitables avant même que les attaquants n’essaient.
Et lorsque des violations se produisent, ces systèmes minimisent les dommages. Le rapport 2024 Cost of a Data Breach Report d’IBM montre que les organisations qui utilisent l’automatisation de la sécurité pilotée par l’IA ont réduit de 108 jours le cycle de vie des incidents. Elles ont économisé en moyenne 2,22 millions de dollars par violation.
Les équipes de sécurité perdent également moins de temps à traquer les fausses alertes. Les plateformes basées sur l’IA telles que CrowdStrike Falcon et Cisco SecureX réduisent les faux positifs de plus de 90 %, ce qui permet aux analystes de se concentrer uniquement sur les alertes réelles et fiables. Pour les dirigeants, cela signifie une charge de travail opérationnelle réduite, un retour sur investissement plus rapide et un meilleur alignement entre la cyber-résilience et la continuité des activités.
Les dirigeants doivent se concentrer sur les investissements qui améliorent les paramètres réels. Gain de temps. Menaces bloquées. Réduction des coûts. L’IA générique permet d’atteindre ces trois objectifs, à grande échelle.
L’écosystème des fournisseurs évolue rapidement, proposant des outils d’identité alimentés par l’IA avec un retour sur investissement démontrable.
Le paysage des fournisseurs de solutions de sécurité évolue rapidement. Ceux qui comptent ne se contentent pas d’ajouter l’IA, ils l’intègrent au cœur de leurs activités. Pour les dirigeants de la suite, il ne s’agit pas seulement de suivre le mouvement. Il s’agit de déployer des outils qui donnent des résultats mesurables dès maintenant.
Charlotte AI de CrowdStrike a réduit la charge de travail des analystes en intégrant la chasse aux menaces conversationnelle directement dans la télémétrie des points d’extrémité et des identités. Il ne s’agit pas d’une mise à jour mineure des fonctionnalités, mais d’un changement structurel qui permet à un seul analyste de gérer ce qui nécessitait auparavant des équipes. La plateforme Neurons d’Ivanti applique l’IA pour automatiser les correctifs à l’aide d’une logique de déploiement intelligente. Les mises à jour ne sont plus gérées manuellement, elles sont priorisées et exécutées en fonction du risque réel, ce qui réduit les temps d’arrêt.
Security Copilot de Microsoft intègre l’IA dans Azure, Sentinel et Defender, offrant aux entreprises un système de bout en bout pour la prévision des menaces en temps réel et la réponse automatisée. L’Adaptive MFA d’Okta ne se contente pas de s’appuyer sur les informations d’identification, il utilise le profilage comportemental pour stopper les attaques même si l’authentification est compromise. Autonomous Identity de ForgeRock élimine les accès périmés grâce à un recalibrage continu des autorisations, ce qui aide les entreprises à maintenir des lignes de base de moindre privilège avec moins d’efforts manuels.
Les fournisseurs offrant des capacités qui unifient l’identité, le contexte et la télémétrie dans un cadre unique gagnent du terrain. IdentityAI de SailPoint automatise l’hygiène des privilèges. SentinelOne intègre la détection des menaces liées à l’identité pilotée par l’IA sur les points d’extrémité. CyberArk utilise l’IA générative dans sa suite PAM pour minimiser l’augmentation des privilèges. Microsoft Entra ID intègre désormais l’IA pour prendre en charge le contrôle d’accès adaptatif avec une évaluation dynamique des risques liés à l’identité.
Pour les responsables de la sécurité, il ne s’agit pas seulement d’un ensemble de fonctionnalités, mais de choisir des plateformes qui convertissent les capacités en résultats. Une étude de Forrester sur l’impact économique total fait état d’un retour sur investissement moyen de 310 % pour les solutions d’identité basées sur l’IA, avec un retour sur investissement complet en six mois. Ajoutez à cela la réduction de plus de 90 % des faux positifs observée avec des plateformes telles que CrowdStrike Falcon et Cisco SecureX, et l’effet de levier opérationnel est évident.
Choisir les bons fournisseurs aujourd’hui n’est pas une question de planification future, c’est une question de performance aujourd’hui. Optez pour ceux qui agissent de manière agressive et transforment l’IA en résultats.
Les investissements dans la sécurité des identités augmentent rapidement en raison de l’accélération des menaces induites par l’IA et de l’évolution des mécanismes de défense
Les signaux du marché sont clairs, les dépenses de sécurité augmentent rapidement et l’identité est au cœur de ces dépenses. Les entreprises répondent à la montée des menaces génératives alimentées par l’IA en investissant à long terme dans des systèmes de défense adaptatifs. Cette tendance n’est pas à court terme ou réactionnaire. Elle est dictée par la nécessité et les stratégies de protection de l’avenir.
Gartner prévoit que les dépenses mondiales en matière de sécurité de l’information atteindront 213 milliards de dollars en 2025. Et ce n’est pas fini. Il prévoit 323 milliards de dollars d’ici 2029, car les entreprises accordent la priorité à une protection continue et à des capacités qui évoluent avec le paysage des menaces. À elle seule, la gestion des identités et des accès (IAM) devrait doubler. Selon IDC, le marché de l’IAM passera de 23,5 milliards de dollars en 2024 à 47,1 milliards de dollars en 2028.
C’est vers cela que se dirigent les architectures modernes, loin de l’authentification en silos et des cartes de privilèges statiques, et vers des systèmes qui apprennent, s’adaptent et réagissent en permanence en utilisant l’intelligence en temps réel. Le volume croissant d’identités de machines, de comptes d’utilisateurs et d’intégrations de tiers rend ce changement essentiel pour éviter les vulnérabilités systémiques.
Les entreprises savent qu’une infrastructure IAM obsolète crée un décalage, tant au niveau de la détection que de la réponse. Ce décalage est synonyme de risque pour l’entreprise. L’IA n’apporte pas seulement la vitesse, elle apporte aussi l’adaptabilité. C’est l’avantage dont les équipes de sécurité ont besoin pour faire face à l’évolution des comportements des menaces et à l’ampleur des systèmes connectés.
Les investissements en matière de sécurité ne doivent plus être considérés comme une assurance. Ils permettent la résilience, la continuité opérationnelle et la confiance des clients. Pour les dirigeants, une architecture moderne de sécurité de l’identité ancre cette capacité dans l’ensemble de l’entreprise. La croissance du budget reflète ce changement stratégique : la sécurité de l’identité est désormais un pilier essentiel de la défense de l’entreprise, et elle est financée en conséquence.
Récapitulation
Aujourd’hui, la plupart des violations ne commencent pas par le code, mais par les informations d’identification. Ce changement n’est pas à venir. Il est déjà là. Et il ne fait pas seulement partie du paysage des menaces, il est le paysage des menaces.
Les dirigeants ne doivent pas considérer la sécurité de l’identité comme une préoccupation technique enfouie dans l’informatique. Il s’agit d’une question opérationnelle, financière et de réputation. Si quelqu’un se connecte à vos systèmes en utilisant de vraies informations d’identification et que personne ne le remarque pendant des heures, voire des jours, vous n’êtes pas seulement exposé. Vous êtes compromis en silence.
L’IA change l’équation. Les modèles génératifs, les moteurs comportementaux et la télémétrie en temps réel ne sont pas des capacités futures. Ils fonctionnent dès à présent dans des environnements à grande échelle et sont déjà plus performants que les flux de travail humains. Ils détectent rapidement, agissent plus vite et empêchent les attaquants de passer inaperçus dans votre infrastructure.
Les organisations les plus résilientes ont déjà opéré ce changement, en remplaçant les systèmes basés sur des règles par des plateformes qui apprennent, s’adaptent et interviennent en temps réel. Celles qui ne l’ont pas fait prennent du retard à cause de chaque alerte manquée, de chaque faux positif, de chaque accès non autorisé qui aurait dû être bloqué.
Vous n’avez pas besoin de plus d’outils. Vous avez besoin de la bonne plateforme, une plateforme qui unifie l’identité, apprend en permanence et se défend à la vitesse de la machine.
Si vous investissez dans la sécurité, commencez par l’identité. Toute compromission commence quelque part. De plus en plus, elle commence par une connexion. C’est là que votre défense doit commencer.
