De nos jours, impossible d'évoquer un événement de sécurité sans tomber sur l'expression « zéro confiance ». C'est un terme à la mode, certes, mais utile. Il repose essentiellement sur un changement de paradigme : on délaisse la sécurité périmétrique au profit de la sécurité globale.
Le terme « zéro confiance » est déjà ancien, ayant fait son apparition dans le jargon du secteur vers 2010, mais ses principes remontent à bien plus loin, au Forum de Jéricho, un regroupement de hauts responsables de la cybersécurité.
Les membres de Jericho ont forgé le terme « dépérimétrisation » vers 2004. Ce terme reconnaissait qu'un périmètre de protection rigide autour du réseau de l'entreprise ne suffisait plus. À mesure que les sous-traitants et autres partenaires commerciaux accédaient davantage au réseau, la notion d'« intérieur » et d'« extérieur » devenait de plus en plus floue. Tel un château fort entouré de douves, le réseau s'était transformé en une véritable ville, avec de multiples portes et une circulation fluide de personnes.
La dépérimétrisation et son successeur, le modèle de confiance zéro, ont recentré l'attention sur la protection des ressources individuelles au sein du réseau. La meilleure façon d'y parvenir est d'authentifier en permanence les personnes accédant à ces ressources et leurs droits d'utilisation. Cela implique de faire de l'identité le nouveau pilier de la sécurité.
Ceux qui ne réussissent pas cette transition risquent davantage de violations de données. Rapport 2025 sur l'état de la sécurité de l'information dans le cadre du SMSI On parle même de chiffres : les violations d’authentification ont décuplé au cours de l’année écoulée, passant de 2 % à 20 % des incidents. La fuite de données chez Verizon confirme que les identifiants restent le principal vecteur d’attaque.
Pourquoi les diplômes sont devenus la clé de voûte
Pourquoi les identifiants sont-ils devenus la clé de voûte des systèmes d'entreprise ? Cela tient en partie à l'évolution du réseau périphérique. Il est aujourd'hui difficile de définir précisément ce qu'est un réseau périphérique, tant il est désormais réparti entre différents centres de données régionaux et services cloud. Le travail hybride a également joué un rôle, accélérant le besoin d'accéder au réseau à distance.
Un autre facteur a été l'essor de l'économie du vol d'informations, qui s'est industrialisée. Ce type de logiciel malveillant a dérobé 2.1 milliards d'identifiants rien qu'en 2024. selon GoogleUne fois qu'une campagne de vol d'informations a permis de récupérer des identifiants de connexion, ceux-ci sont faciles à vendre sur le dark web, et les auteurs d'attaques par bourrage d'identifiants peuvent ensuite les utiliser pour pirater des points d'accès numériques sur Internet.
Lorsqu'ils réussissent à pirater un compte et à en déverrouiller un autre, les attaquants peuvent être sûrs qu'ils auront tout le temps nécessaire pour exploiter ce compte compromis et s'enfuir. 292 jours en moyenneD'après IBM, les violations d'identifiants sont également les plus longues à détecter.
Les utilisateurs non humains sont désormais plus nombreux que les utilisateurs humains.
Il existe une autre raison pour laquelle l'identité est devenue de plus en plus importante en matière de sécurité : les identités non humaines. Autrefois, les principaux utilisateurs des ressources informatiques d'entreprise étaient des personnes. Aujourd'hui, grâce aux microservices, aux API et à une nouvelle génération de services d'IA agentifs, les utilisateurs non humains humains en surnombre 144:1 dans les entreprises en 2025. Cela représente une hausse de 56 % par rapport à l'année précédente.
Le développement des agents d'IA est particulièrement pertinent ici, car ces services gagnent en autonomie. À mesure qu'elles prennent confiance dans l'automatisation par l'IA, les organisations sont plus enclines à confier davantage de responsabilités à ces agents. Le pourcentage de ces services disposant d'un accès privilégié augmentera.
L'identité est fondamentale
Ces tendances expliquent pourquoi les cadres de conformité mettent l'accent sur l'identité. L'annexe A 5.15-5.18 de la norme ISO 27001:2022 codifie les contrôles d'identité dans le cadre d'un ensemble plus large de mesures organisationnelles couvrant le contrôle d'accès, la gestion des identités, les informations d'authentification et les droits d'accès.
Les cadres de contrôle de sécurité robustes partagent un principe commun : chaque identité doit être unique, le principe du moindre privilège doit prévaloir et l’auditabilité doit être assurée. L’authentification multifacteur (MFA) devrait être obligatoire pour l’accès privilégié.
L’accent mis par ces cadres sur l’identité est opportun, car les organismes de réglementation accordent une attention accrue à cette question. ENISA décrit L'authentification multifacteur (AMF) est un moyen intelligent de démontrer votre conformité à la norme NIS 2. Les entreprises doivent y prêter attention, car ce règlement européen prévoit des sanctions pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les organisations non conformes.
Adopter une approche de sécurité axée sur l'identité
Comment les entreprises peuvent-elles adopter une posture de sécurité basée sur l'identité et indépendante des périmètres flous ?
Le modèle de confiance zéro repose sur des éléments concrets. La gestion robuste des identités et des accès en est un, qui consiste à garantir que chaque utilisateur, service et machine soit identifié de manière unique et authentifié en permanence.
L'authentification multifacteur (MFA) est un moyen efficace de prévenir le piratage de comptes, mais elle n'est pas sans risques. La lassitude face à la MFA est bien réelle, et des proxys peuvent être utilisés pour intercepter les sessions MFA, tandis que des voleurs d'informations peuvent dérober les jetons de session. Le vol de jetons permet de contourner complètement certaines mesures MFA. En 2024, Microsoft 147 000 attaques par rejeu de jetons détectées, en hausse de 111 % par rapport à l’année précédente.
L'authentification sans mot de passe par clés d'accès est une autre façon de se prémunir contre les attaques de phishing. Elle permet également de limiter certains comportements auxquels les utilisateurs ont du mal à renoncer lorsqu'ils travaillent, comme le partage de mots de passe pour un accès facilité.
Ces changements peuvent paraître une tâche ardue pour de nombreuses organisations, notamment celles qui ont constitué leur infrastructure informatique à partir de multiples systèmes au fil du temps, par le biais d'acquisitions, d'équipes fragmentées et d'évolutions technologiques stratégiques. Cependant, quelques principes clés peuvent leur faciliter la tâche.
Mettez en œuvre les contrôles des annexes A 5.15 à 5.18 de la norme ISO 27001 comme base de référence. Ils vous guideront dans la mise en œuvre optimale des politiques d'accès, de la gestion du cycle de vie des identités et des normes d'authentification. Un tel cadre vous permettra d'établir une gouvernance solide grâce à des mesures telles que des revues d'accès régulières.
Il convient de recenser les identités non humaines avec la même rigueur que celle appliquée aux employés. Il faut réaliser une analyse des écarts et déterminer les mesures nécessaires pour recenser de manière exhaustive tous les comptes de service et leurs certificats TLS ou clés API, par exemple.
L’objectif final est d’accepter que la sécurité des identités soit désormais un élément fondamental de la gestion de la sécurité. Après tout, on ne peut protéger ce qu’on ne peut authentifier.










