The problem with legacy thinking around identity security

Vous avez probablement déjà entendu l’expression « L’identité constitue le nouveau périmètre ». Elle est souvent martelée dans les milieux de la sécurité, et pour de bonnes raisons. Dans la plupart des entreprises, l’identité a longtemps été considérée comme une fonction de soutien. Elle est traitée comme une passerelle vers les systèmes, un ensemble de politiques permettant de gérer l’accès et une case à cocher sur la checklist de sécurité. 

Mais le paysage a changé, et rapidement.

L’identité joue un rôle central dans la façon dont les personnes, les terminaux et les systèmes se connectent. C’est également la première cible à laquelle s’attaquent les cybercriminels lorsqu’ils cherchent à infiltrer des systèmes d’entreprise. Si votre modèle de sécurité considère toujours l’identité comme un processus back-end, il n’est pas en phase avec le mode opératoire des menaces actuelles.

Avec l’essor du télétravail, la multiplication des environnements cloud et l’explosion des applications SaaS, la surface d’attaque liée à l’identité s’est considérablement élargie. Le vol d’identifiants, le détournement de session et le contournement de l’authentification multifacteur (MFA) résistante au phishing sont devenus des tactiques de routine. En parallèle, les systèmes d’identité traditionnels, conçus pour un modèle centralisé et basé sur le périmètre, montrent leurs limites.

Dans cet article, nous verrons comment l’approche héritée de la sécurité des identités met les organisations en péril, pourquoi ces risques sont de plus en plus difficiles à détecter et ce que les entreprises doivent changer pour reprendre le contrôle.

L’approche héritée de la sécurité des identités

Prenons un peu de recul et voyons comment les systèmes d’identité ont été conçus à l’origine.

La plupart des outils traditionnels de gestion des identités et des accès (IAM) ont été conçus pour un environnement centralisé. Pensez aux VPN, aux applications on-premise, aux terminaux gérés et aux utilisateurs travaillant depuis le bureau. Dans ce contexte, l’identité concernait principalement le contrôle des accès (qui pouvait obtenir un accès et quand).

Les méthodes d’authentification étaient assez limitées. Les mots de passe étaient la norme ; peut-être aviez-vous des codes d’accès à usage unique ou des tokens en place pour une sécurité accrue. Le MFA et l’authentification unique (SSO) étaient souvent facultatifs. Ils étaient considérés comme des fonctionnalités qui amélioraient la commodité, et non comme des mesures de sécurité essentielles.

Cette approche a perduré plus longtemps qu’elle n’aurait dû. Les systèmes d’identité n’évoluaient pas assez rapidement pour tenir la cadence de la migration des organisations vers le cloud. Beaucoup sont restés isolés du reste de la pile de sécurité. Le provisioning et le déprovisioning étaient effectués manuellement, et l’accès était géré application par application. 

La visibilité était limitée, l’automatisation minimale et le contexte de l’activité de l’utilisateur souvent absent. Si le paysage a changé, de nombreuses organisations ne l’ont pas fait. Ce modèle dépassé est toujours en place dans des environnements qui sont aujourd’hui beaucoup plus complexes, et c’est exactement ce qui est exploité par les cybercriminels.

Aujourd’hui, les attaquants ne passent pas par le périmètre réseau. Ils ciblent directement l’identité. Et lorsque l’identité est traitée comme une simple case à cocher plutôt que comme une couche critique de défense, ces failles sont faciles à exploiter.

L’identité constitue la nouvelle surface d’attaque

Ce changement dans la manière dont l’identité est utilisée (et exploitée) a des répercussions significatives. Les cybercriminels ont découvert qu’ils n’avaient plus besoin de lancer des attaques par force brute pour infiltrer une infrastructure renforcée. Il est souvent plus facile d’exploiter des contrôles d’identité négligés ou de contourner des méthodes d’authentification faibles. Une fois à l’intérieur, ils peuvent se déplacer latéralement sans grande résistance, surtout si l’identité est traitée comme un point de contrôle passif plutôt que comme une couche de sécurité active.

Dans le même temps, les menaces d’identité sont de plus en plus courantes et complexes. Le détournement de session, le vol de tokens et le contournement du MFA ne sont plus des techniques rares, mais de routine. Des campagnes sophistiquées ciblent les flux d’authentification et l’accès post-authentification. Et grâce à l’IA et à l’automatisation, ces attaques se propagent plus rapidement que jamais.

Les chiffres parlent d’eux-mêmes. Selon le rapport Data Breach Report 2024 de Verizon, auquel Okta a participé, plus de 80 % des brèches de sécurité impliquent une identité compromise. En 2023, les attaquants ont volé plus de 1,9 milliard de cookies de session aux collaborateurs des entreprises du classement Fortune 1000. Les attaques d’identité ont bondi de 180 % sur 12 mois. Et en moyenne, il faut encore 272 jours aux organisations pour détecter et contenir une brèche.

Il ne s’agit pas de cas particuliers, mais de signes clairs que les outils traditionnels et les playbooks ne suffisent plus. Si votre approche de la sécurité des identités ne permet pas de réduire les risques pour les utilisateurs, les comptes de service, les terminaux et les applications cloud en temps réel, vous disposez d’angles morts que les attaquants savent trouver.

Comment la fragmentation crée des angles morts dans la pile de sécurité

D’où viennent donc ces angles morts ? Tout commence par la fragmentation. Les environnements d’entreprise modernes sont conçus à partir d’une combinaison de services cloud, d’outils SaaS, de systèmes hérités et d’intégrations tierces. Ils sont certes rapides, flexibles et évolutifs, mais ils sont aussi chaotiques. Chaque nouveau service, application ou plateforme ajoute une nouvelle couche de complexité à votre infrastructure d’identités.

Le défi ne réside pas seulement dans l’échelle, mais aussi dans le manque de connexion entre ces couches. Trop souvent, les identités sont gérées de manière isolée. Différentes équipes gèrent l’accès à différents systèmes. Les politiques d’authentification varient d’une application à l’autre. Et les données liées à l’identité, comme l’historique des connexions ou le comportement de l’utilisateur, restent cloisonnées sur des plateformes déconnectées les unes des autres.

Il est donc pratiquement impossible de maintenir des contrôles d’accès cohérents ou d’appliquer des politiques de sécurité de manière uniforme. Le MFA peut être appliqué dans certains domaines et négligé dans d’autres. Le déprovisioning peut être effectué pour les collaborateurs, mais pas pour les prestataires ou les comptes de service. Et comme il n’y a pas de vue centralisée, ces failles sont difficiles à déceler avant qu’il ne soit trop tard.

Pour les attaquants, il s’agit d’une configuration idéale. La fragmentation allonge les délais de réponse, rend les erreurs de configuration plus faciles à manquer et donne aux cybercriminels davantage de moyens de passer inaperçus. Une stratégie d’identité moderne doit tenir compte de la réalité des piles de sécurité actuelles. Sans une visibilité connectée et en temps réel, les équipes sécurité travaillent avec des informations partielles, et c’est exactement comme cela que des brèches se produisent.

Pourquoi l’IAM traditionnel n’est pas à la hauteur

Aujourd’hui, il devrait être évident que les solutions IAM traditionnelles ne sont pas adaptées aux environnements actuels. Bien qu’elles soient animées des meilleures intentions, de nombreuses équipes sécurité travaillent encore avec des systèmes d’identité conçus pour une autre époque. Ces outils ont été conçus pour des environnements statiques, où les besoins en matière d’accès évoluaient lentement et où les identités restaient cantonnées à l’intérieur du périmètre de l’entreprise.

Ce n’est plus le monde dans lequel nous vivons. Les environnements actuels sont beaucoup plus dynamiques et des identités sont constamment ajoutées, modifiées et supprimées. Les prestataires ont besoin de seulement quelques jours d’accès. De nouveaux outils SaaS sont intégrés à la volée. Les utilisateurs se connectent à partir de terminaux non gérés, dans différents fuseaux horaires et de n’importe où. Malheureusement, la plupart des systèmes IAM hérités ne peuvent tout simplement pas suivre ce rythme.

Ils ne permettent pas de déterminer en temps réel qui a accès à quoi, ni de s’adapter rapidement aux signaux de risques ou au contexte. Ils s’appuient fortement sur des processus manuels pour provisionner les utilisateurs, résilier les accès ou auditer les autorisations — des tâches qui deviennent ingérables à mesure que le nombre d’identités augmente.

Tout cela crée des frictions, pour les équipes sécurité et dans l’ensemble de l’entreprise. Les délais de réponse aux menaces s’allongent, les politiques deviennent incohérentes et des erreurs de configuration échappent à la détection. Plus ces failles subsistent longtemps, plus elles sont susceptibles d’être exploitées.

Si vous voulez réduire les risques et offrir un accès sécurisé pour tous les utilisateurs, les applications et les services, vous ne pouvez pas gérer l’identité de manière isolée. Elle doit être connectée au reste de votre pile de sécurité et suivre le rythme de tous les autres éléments de votre environnement.

Le coût du report de l’adoption d’une stratégie d’identité moderne

Reconnaître les limites des outils hérités est une chose. Agir en est une autre. Pour de nombreuses organisations, la modernisation de l’identité est perçue comme un projet à long terme, auquel il faudra s’atteler une fois que les urgences auront été traitées. Mais en réalité, attendre ne fait qu’augmenter le risque. Plus l’identité reste déconnectée du reste de votre pile de sécurité, plus les petites erreurs et les processus obsolètes s’accumulent.

Un déprovisioning manqué, un MFA incohérent ou un compte de service que personne n’a surveillé depuis des mois sont autant de failles que les attaquants recherchent et à côté desquelles il est facile de passer lorsque l’identité est encore gérée par des politiques statiques et des vérifications manuelles.

Cela dit, le coût ne se limite pas au risque de brèche. Il se traduit également par des processus plus lents, des workflows inefficaces et un manque de visibilité qui maintient les équipes sécurité dans un mode réactif, incapables de prioriser les améliorations à long terme ou d’obtenir des résultats plus globaux en matière de sécurité.

Une stratégie d’identité moderne permet aux organisations de transformer l’identité en un avantage stratégique. Elle offre une visibilité à l’échelle du système, soutient les décisions en temps réel et aide à prévenir les risques avant qu’ils ne s’aggravent. Plus les organisations attendent pour se moderniser, plus ces failles cachées se transforment en conséquences, impactant les équipes sécurité, l’entreprise et les personnes qu’elles sont censées protéger.

Sécuriser l'identité pour tout protéger

Alors que l’identité devient la principale surface d’attaque, elle détient la clé d’une stratégie de sécurité plus unifiée et plus résiliente. Notre eBook « Sécuriser l’identité pour tout protéger » présente une stratégie pratique pour intégrer l’identité au cœur de votre architecture de sécurité. Il traite des risques réels auxquels sont confrontés les environnements actuels, des failles laissées par les systèmes hérités et des trois principes à la base de la prochaine génération de sécurité des identités.

Si vous cherchez à moderniser votre infrastructure, à renforcer le contrôle des accès et à réduire les risques au sein de systèmes complexes, ce guide vous offre l’orientation stratégique et les bases techniques nécessaires pour soutenir cette transformation. Téléchargez l’eBook pour obtenir la stratégie, les frameworks et les références dont vous avez besoin pour avancer en toute confiance.