L'identité, nouvelle ligne de front de la cybersécurité.

AVIS D’EXPERT

La cybersécurité a longtemps reposé sur une idée simple : protéger le réseau pour protéger l’entreprise. On fortifiait le périmètre, on segmentait, on contrôlait les flux. Mais le périmètre n’existe plus. Le cloud a éclaté les architectures. Le travail hybride a effacé les frontières physiques. Les applications SaaS ont multiplié les points d’entrée. L’entreprise est devenue distribuée, mouvante, interconnectée. Chaque accès, chaque transaction, chaque action sensible dépend d’un identifiant reconnu comme légitime. C’est précisément pour cette raison que les attaquants ont changé de cible. Ils ne cherchent plus prioritairement à exploiter une faille technique complexe. Ils cherchent à se faire passer pour quelqu’un de confiance.

L'actualité récente en matière de cyber-attaques majeure démontre clairement cette tendance de fond. De plus en plus d'identités vérifiées sont transmises par des personnes internes à l'organisation (insiders). Une identité compromise offre un accès discret, crédible et souvent étendu. Elle permet de contourner les barrières traditionnelles sans déclencher immédiatement d’alerte. Dans la majorité des compromissions majeures, l’escalade commence par là : un compte, puis un privilège, puis un mouvement latéral presque indétectable.

Dans beaucoup d’entreprises, la gestion des identités s’est construite par couches successives. Les environnements ont évolué, les applications se sont multipliées, les usages se sont transformés sans repenser la gestion des droits et des accès en regard de ces évolutions. Des comptes persistent après un départ. Des privilèges ne sont jamais réellement réévalués. Des accès temporaires deviennent permanents. À mesure que le système d’information s’hybride, la gouvernance se complexifie. Cette dette identitaire progresse sans bruit. Pourtant, elle constitue l’un des principaux facteurs de risque. Car plus les droits sont larges et diffus, plus une compromission aura d’impact. L’enjeu n’est plus uniquement technique. Il touche à la continuité d’activité, à la réputation et à la confiance numérique.

Le modèle du “château fort” qui consiste à protéger l’extérieur pour sécuriser l’intérieur, ne correspond plus à la réalité des usages. Aujourd’hui, l’accès ne dépend plus d’un lieu, mais d’un identifiant et du contexte dans lequel il est utilisé. Il ne s’agit plus seulement de gérer des accès, mais de vérifier en permanence la légitimité d’une identité, la cohérence de son comportement et l’adéquation de ses privilèges. Le principe du Zero Trust traduit cette évolution : ne jamais présumer, toujours valider. Cette approche transforme profondément la manière d’envisager la cybersécurité. Elle place l’identité au centre de l’architecture de défense.

La maturité consiste désormais à anticiper plutôt qu’à réagir. Trop d’organisations découvrent l’ampleur d’un incident une fois la compromission effective. La question devient alors : comment réduire en amont la surface d’attaque identitaire ? Cela suppose de mieux comprendre l’exposition réelle des comptes, de détecter les signaux faibles d’usurpation et de limiter structurellement les privilèges excessifs. Ce travail ne relève pas d’un outil isolé, mais d’une démarche globale, articulée entre technologie, gouvernance et opérations. C’est dans cette logique que s’inscrit le service SASETY Identity Guard, qui propose une approche centrée sur l’utilisateur et son identité comme point d’ancrage de la défense. L’objectif n’est pas d’ajouter une couche supplémentaire à un empilement déjà complexe, mais de restaurer une visibilité cohérente et continue sur ce qui constitue aujourd’hui le cœur du risque : les identités et leurs expositions.

Autour de ces identités gravitent plusieurs briques de sécurité : la messagerie, le fournisseur d’identité (IdP), la protection du poste de travail (EDR) et le réseau. Historiquement, ces composants fonctionnent souvent de manière indépendante. Chacun détecte ses propres alertes, applique ses propres règles, sans toujours partager une vision globale du risque. L’approche d’Identity Guard consiste à relier ces briques entre elles autour d’un référentiel commun : le niveau de risque de l’identité. Concrètement, chaque interaction, tentative de connexion, comportement inhabituel, signal issu de la messagerie ou du poste de travail, alimente un moteur d’évaluation. Ce moteur attribue un niveau d’alerte gradué, inspiré des niveaux DEFCON. Plus le risque est élevé, plus les contrôles se renforcent. Cela peut se traduire, par exemple, par une demande d’authentification renforcée, une restriction temporaire de privilèges ou un blocage d’accès à certaines ressources sensibles. Ce modèle introduit une logique adaptative. La sécurité n’est plus statique, elle devient contextuelle. Elle s’ajuste en fonction du comportement réel de l’identité et des signaux collectés dans l’environnement.