Début 2025, BeyondID a lancé une initiative de recherche pour mieux comprendre comment les organisations gèrent la sécurité de l'identité face à la montée des menaces, à l'adoption rapide de l'IA et à la pression croissante en matière de conformité.
Nous avons interrogé des responsables informatiques et de la sécurité dans les secteurs de la santé, des sciences de la vie et de la technologie dans un seul but : obtenir une image claire des domaines dans lesquels les équipes sont confiantes et de ceux dans lesquels elles peuvent être vulnérables.
Ce que nous avons découvert nous a surpris.
La confiance était forte, mais dans de nombreux cas, elle n'était pas étayée par les meilleures pratiques. L'IA était omniprésente, mais à peine encadrée, et l'identité - bien qu'étant la couche la plus ciblée de l'infrastructure moderne - était souvent sous-financée et mal desservie.
Cette recherche a donné lieu à trois rapports, chacun se concentrant sur une facette différente du risque lié à l'identité. Ensemble, ils brossent un tableau clair des principales menaces d'identité en 2025 et des domaines sur lesquels les responsables de la sécurité doivent se concentrer ensuite.
Nous nous préparons maintenant à publier notre rapport le plus ambitieux à ce jour.
L’état de préparation en matière de cybersécurité
L'état de préparation à la cybersécurité est le premier rapport de notre série et définit un ensemble de points clés à retenir des résultats de notre enquête. Cette installation évalue comment les organisations perçoivent leur maturité et décrit ce qu'elles font réellement pour sécuriser leurs identités.
Voici ce que révèle notre étude :
- Les attaques de sécurité sont plus fréquentes (et plus répétées) que la plupart des équipes ne le pensent.
- Les manquements à la conformité sont répandus, mais rarement considérés comme une priorité absolue.
Les organisations qui se disent avancées ne respectent souvent pas les véritables meilleures pratiques. - Les agents d'IA se comportent comme des utilisateurs, mais ne sont pas gérés comme tels.
- Les responsables de la sécurité pourraient surestimer les avantages de l'IA tout en négligeant ses risques.
Cet écart entre la perception et l'exécution n'est pas seulement ironique ; il est dangereux. Lorsque la confiance dépasse les contrôles, les menaces passent inaperçues jusqu'à ce qu'il soit trop tard.
Agents d'IA : La nouvelle menace interne ?
AI Agents: The New Insider Threat (Agents IA : la nouvelle menace interne) se penche sur le sujet dont tout le monde parle : les agents IA. Voici ce que les données ont révélé :
Les organisations intègrent des agents d'IA dans les systèmes centraux sans les traiter comme des identités. Là où les identités non humaines (INH) comme les scripts, les bots ou les agents autonomes sont désormais intégrées aux flux de travail, mais rarement surveillées ou incluses dans les revues d'accès :
- Les comptes de service surpermissionnés sont très répandus.
- Les systèmes d'IA accèdent régulièrement à des données sensibles sans supervision.
- La surveillance comportementale inclut rarement des agents automatisés.
Les outils d'IA se comportent comme des utilisateurs, mais les équipes de sécurité les considèrent toujours comme une infrastructure. Cet écart est l'une des menaces liées à l'identité qui connaît la croissance la plus rapide cette année.
Le paradoxe de la confiance : illusions d'état de préparation en matière de sécurité des identités
Lorsque nous avons lancé notre initiative de recherche, nous nous attendions à une variation de la maturité du programme. Ce à quoi nous ne nous attendions pas, c'est un sentiment de confiance quasi universel, même (et surtout) parmi les équipes qui ne régissent pas les NHI ou n'appliquent pas le moindre privilège.
Le paradoxe de la confiance accorde toute notre attention à une tendance que nous ne pouvions ignorer : les équipes pensent être en sécurité, mais manquent souvent des éléments fondamentaux nécessaires pour que cela soit vrai.
Ce que les données ont montré :
- 85 % des dirigeants affirment qu'ils pourraient détecter une violation liée à l'identité dans les 24 heures.
- Moins de 30 % régissent les INH.
- Seulement 34 % investissent plus de 20 % de leur budget de sécurité dans l'identité.
La confiance n'est pas un problème, mais le manque de mesures de sécurité d'identité adéquates pour la soutenir l'est. On suppose souvent que les programmes d'identité sont plus solides qu'ils ne le sont, et cette hypothèse augmente l'exposition aux risques.
Bientôt disponible: L'économie de l'identité
Trois rapports plus tard, nous nous préparons maintenant à publier notre analyse la plus complète à ce jour.
Lancé à Oktane25, The Identity Economy : How Gaps in Identity Management Enable and Sustain Cybercrime rassemble de nouvelles découvertes pour explorer l'identité comme la monnaie de la cybercriminalité moderne.
Dans le rapport :
- Nouvelles données sur la façon dont l’identité alimente le marché de la cybercriminalité
- Exemples concrets d'IEV en action
- Tendances en matière d'identités orphelines, d'utilisation abusive de l'IA et de mauvaises configurations SSO
- Cadre d'action pour combler le fossé entre les pratiques de sécurité et les priorités des dirigeants
Accès anticipé
Les principales menaces d'identité en 2025 n'émergent pas, elles sont déjà enracinées. Commencez à découvrir les meilleures façons de riposter dès aujourd'hui.
Découvrez la série complète de recherches de BeyondID et rejoignez-nous à Oktane25 pour un premier aperçu de The Identity Economy.
