Securite de l'identite et Zero Trust

L’identite : premiere surface d’attaque en 2026

En 2026, 22 % des breches commencent par un abus de credentials, depassant les malwares comme vecteur principal. L’identite n’est plus un simple composant IT : c’est une infrastructure critique.

La transformation numerique a radicalement change le perimetre de securite. Pendant des decennies, le modele “chateau fort” (fort pare-feu, reseau interne de confiance) semblait suffisant. Le cloud, le travail distant et la mobilite ont dissous ce perimetre. Aujourd’hui, les utilisateurs se connectent depuis n’importe ou, sur n’importe quel appareil, vers des ressources reparties entre l’on-premise et de multiples providers cloud. Dans ce contexte, l’identite est devenue le nouveau perimetre.

Pourquoi l’identite est ciblee

  • Un attaquant avec des credentials legitimes ne declenche pas les EDR
  • Les credentials sont faciles a obtenir (phishing, infostealers, dark web)
  • Un seul compte a privileges peut ouvrir l’acces a tout le systeme d’information
  • Distinguer un usage legitime d’un usage malveillant est complexe

Les infostealers representent une menace majeure : des malwares specialises collectent silencieusement tous les mots de passe stockes dans les navigateurs, les sessions authentifiees, les cookies et les tokens d’acces. Ces donnees sont ensuite vendues sur des marches criminels. En 2026, on estime que des dizaines de millions de credentials d’entreprises sont disponibles a la vente sur le dark web.

La surface d’attaque identitaire

La surface d’attaque identitaire d’une organisation moderne est vaste :

  • Comptes utilisateurs : chaque employe, sous-traitant, partenaire
  • Comptes de service : applications qui s’authentifient entre elles, souvent avec des privileges eleves et des mots de passe jamais expires
  • Identites machines : certificats, tokens, cles API, service accounts cloud
  • Identites federees : SSO, SAML, OAuth entre organisations
  • Comptes privilegies : administrateurs systeme, DBA, DevOps avec acces production

Chaque type d’identite presente des risques specifiques et necessite des controles adaptes. Les comptes de service sont particulierement dangereux : souvent crees pour un projet et oublies, ils ont parfois des privileges excessifs et des mots de passe qui n’ont pas ete changes depuis des annees.

Le paradigme Zero Trust

“Never trust, always verify.” Le Zero Trust part du principe que le reseau interne est deja compromis. Chaque acces est verifie en fonction du contexte : identite, appareil, localisation, comportement.

Le Zero Trust n’est pas un produit qu’on achete, c’est une philosophie architecturale. Son implementation repose sur trois piliers :

  1. Verification de l’identite : authentification forte (MFA, FIDO2) pour chaque acces
  2. Validation de l’appareil : l’appareil utilise est-il sain, patche, conforme aux politiques ?
  3. Controle du contexte : la localisation, l’heure, le comportement habituel correspondent-ils a la demande d’acces ?

Active Directory : la cle du royaume

Dans la majorite des entreprises, Active Directory reste le referentiel central des identites. Sa compromission equivaut a la compromission complete de l’organisation. Les attaquants le savent : les techniques d’attaque AD (Pass-the-Hash, Kerberoasting, DCSync, Golden Ticket) sont tres documentees et utilisees systematiquement dans les attaques ransomware avancees.

Mesures prioritaires AD :

  • Separer les comptes d’administration des comptes utilisateurs courants
  • Implementer le tiering (tiers 0/1/2) pour isoler les actifs les plus critiques
  • Auditer regulierement les membres des groupes privilegies
  • Activer la protection LAPS pour les mots de passe administrateurs locaux
  • Monitorer les modifications des groupes privilegies en temps reel

IAM cloud et identites non humaines

La proliferation des services cloud a cree une explosion des identites non humaines : roles IAM, service accounts, cles d’API, tokens OAuth. Ces identites sont souvent moins bien gerees que les comptes humains.

Les permissions cloud excessives sont un risque majeur : un bucket S3 accessible en ecriture par un role trop permissif, une cle API exposee dans un repository GitHub, ou un service account avec des droits admin represente des points d’entree critiques.

Principe du moindre privilege dans le cloud :

  • Auditer regulierement les permissions IAM (outils : IAM Access Analyzer, Ermetic, Wiz)
  • Eviter les credentials long-terme au profit de tokens temporaires
  • Surveiller les patterns d’acces inhabituels avec CloudTrail/Azure Monitor

Dans ce guide