Le perimetre a disparu. L’identite est restee.
Dans le modele de securite traditionnel, le perimetre reseau faisait office de muraille. Les pare-feu separaient le reseau interne de confiance de l’internet non securise. Si vous etiez a l’interieur — connecte au LAN de l’entreprise, authentifie sur le domaine — vous etiez de confiance.
Ce modele est mort. Le cloud computing a deplace les applications hors du perimetre. Le travail a distance a deplace les utilisateurs hors du perimetre. Le SaaS a deplace les donnees hors du perimetre. Les appareils mobiles, les API, les communications machine-a-machine et les integrations tierces signifient qu’il n’y a plus de « dedans » ni de « dehors ». Le perimetre reseau est partout et nulle part.
Ce qui reste, c’est l’identite. Chaque demande d’acces — qu’elle provienne d’un utilisateur humain, d’un compte de service, d’une cle API ou d’un workflow automatise — commence par « qui etes-vous et que pouvez-vous faire ? ». La gestion des identites et des acces (IAM) n’est plus une fonction secondaire au sein de la cybersecurite. C’est le plan de controle principal.
Les chiffres confirment cette evolution. Selon le rapport mondial sur les menaces 2025 de CrowdStrike, 79 % des detections de cyberattaques se faisaient sans malware — les attaquants s’appuyaient sur l’abus d’identifiants et les techniques manuelles (hands-on-keyboard) plutot que sur le deploiement de malwares. Le rapport Verizon DBIR 2025 a constate que l’abus d’identifiants etait le principal vecteur d’acces initial, responsable de 22 % des violations, tandis que 88 % des violations d’applications web basiques impliquaient des identifiants voles. L’activite des courtiers d’acces (access brokers) — le marche souterrain ou les identifiants voles sont vendus — a bondi de 50 % en glissement annuel en 2024. Les vecteurs d’acces initiaux les plus courants — hameconnage, credential stuffing, detournement de session, attaques par fatigue MFA — ciblent tous l’identite.
La surface d’attaque identitaire
L’infrastructure d’identite moderne presente de multiples surfaces d’attaque :
Compromission des identifiants
L’attaque identitaire la plus directe : voler des noms d’utilisateur et des mots de passe. Plus de 24 milliards d’identifiants voles circulaient sur les places de marche du dark web selon une etude de Digital Shadows (desormais ReliaQuest) en 2022, et ce nombre continue de croitre avec la montee en puissance des malwares voleurs d’informations. Les infostealers (Redline, Raccoon, Lumma, Vidar) ont recolte 1,8 milliard d’identifiants en 2025, les exfiltrant depuis les navigateurs, les gestionnaires de mots de passe et les stockages applicatifs vers des serveurs de commande et de controle ou ils sont vendus en masse.
Le Verizon DBIR 2025 a revele que seulement 49 % des mots de passe d’un utilisateur etaient uniques parmi ses differents services — ce qui signifie que la moitie sont reutilises. La reutilisation des mots de passe amplifie l’impact : lorsque des identifiants voles lors d’une violation sont testes sur d’autres services (credential stuffing), les taux de reussite varient de 0,5 % a 2 %, ce qui signifie qu’un dump d’un million d’identifiants genere 5 000 a 20 000 connexions reussies sur des services sans rapport. Le volume quotidien median de credential stuffing represente desormais 19 % de toutes les tentatives d’authentification dans les organisations de grande envergure.
Contournement du MFA
L’authentification multi-facteurs (MFA) etait censee resoudre le probleme de la compromission des identifiants. Elle a aide — mais ne l’a pas resolu. Les attaquants ont developpe de multiples techniques de contournement du MFA :
- Hameconnage AiTM (adversary-in-the-middle) : intercepte les jetons de session apres que l’utilisateur a complete le MFA, rendant celui-ci sans effet
- Fatigue MFA / push bombing : envoie des notifications push MFA repetees jusqu’a ce que l’utilisateur en approuve une par frustration ou confusion
- SIM swapping : convainc un operateur mobile de transferer le numero de telephone de la victime vers la carte SIM de l’attaquant, interceptant les codes MFA par SMS
- Ingenierie sociale : cible les helpdesks informatiques pour reinitialiser le MFA au profit de l’attaquant (la technique utilisee lors de la violation du MGM Grand par Scattered Spider en 2023)
- Hameconnage vocal (vishing) : a bondi de 442 % entre le premier et le second semestre 2024 selon CrowdStrike, avec des messages d’hameconnage generes par GenAI atteignant un taux de clic de 54 % contre seulement 12 % pour les messages generes par des humains
Attaques sur les jetons et les sessions
Une fois authentifies, les utilisateurs recoivent des jetons de session qui accordent un acces continu sans reauthentification. Ces jetons — stockes dans les navigateurs, les applications ou les services cloud — sont de plus en plus cibles :
- Pass-the-cookie : vole les cookies de session du navigateur depuis les terminaux (via un malware ou un acces physique) et les rejoue sur des appareils controles par l’attaquant
- Vol de jetons : extrait les jetons OAuth ou les jetons de rafraichissement depuis des applications compromises
- Golden SAML : forge des assertions SAML en utilisant des certificats de signature voles, permettant aux attaquants de generer des jetons d’authentification valides pour n’importe quel utilisateur (la technique utilisee dans l’attaque SolarWinds)
Proliferation des identites machines
Les identites humaines ne representent qu’une partie du probleme. Selon l’enquete 2025 de CyberArk sur le paysage de la securite des identites, les identites machines depassent desormais les identites humaines dans un rapport de 82 pour 1. Les comptes de service, les cles API, les certificats, les secrets, les identites gerees et les identites de workload ont explose : les identites machines sont passees d’environ 50 000 par entreprise en 2021 a 250 000 en 2025 — une augmentation de 400 %, tandis que les identites humaines n’ont augmente que de 16 %.
Les identites machines sont plus difficiles a gerer : elles disposent souvent de permissions excessives, sont rarement mises a jour, sont partagees entre les equipes et ne sont pas soumises a la meme gestion du cycle de vie (onboarding, offboarding) que les identites humaines. Pourtant, 88 % des organisations definissent encore uniquement les identites humaines comme « utilisateurs privilegies », bien que les machines aient des taux d’acces sensibles plus eleves. Une cle API divulguee dans un depot GitHub peut fournir un acces persistant a l’infrastructure cloud pendant des mois ou des annees avant d’etre decouverte.
IAM : le plan de controle
La gestion des identites et des acces (IAM) est le systeme qui gere qui (identite) peut faire quoi (acces) sur quelles ressources (autorisation). Le marche mondial de l’IAM a atteint environ 23 a 26 milliards de dollars en 2025 et devrait depasser 42 milliards de dollars d’ici 2030. Les plateformes IAM modernes comprennent :
Microsoft Entra ID (anciennement Azure Active Directory) est la plateforme IAM cloud dominante, gerant les identites pour Microsoft 365, Azure et des milliers d’applications SaaS integrees. Entra ID fournit l’authentification unique (SSO), les politiques d’acces conditionnel, la gouvernance des identites et la gestion des identites privilegiees.
Okta est la principale plateforme IAM independante, fournissant le SSO et le MFA adaptatif pour les environnements multi-cloud et SaaS. La force d’Okta reside dans l’etendue de ses integrations — plus de 7 000 connecteurs d’applications preconstruits. (Okta a elle-meme ete victime d’une violation via son systeme de support en octobre 2023 — ayant initialement declare que 1 % des clients etaient affectes, l’entreprise a ensuite confirme que les donnees de tous les utilisateurs du support avaient ete consultees, soulignant que les fournisseurs IAM sont des cibles de grande valeur.)
Google Cloud Identity et AWS IAM fournissent la gestion des identites pour leurs plateformes cloud respectives, Google proposant egalement Cloud Identity comme service d’annuaire autonome.
Ping Identity est specialise dans l’IAM d’entreprise pour les environnements complexes (services financiers, sante) necessitant une gestion des identites sur site et hybride.
Zero Trust et evaluation continue des acces
Le modele de securite zero trust remplace la confiance implicite (vous etes sur le reseau, donc vous etes de confiance) par une verification continue. Chaque demande d’acces est evaluee en fonction de :
- Identite — Qui demande l’acces ? Le compte est-il compromis ?
- Appareil — L’appareil est-il gere, conforme et sain ?
- Localisation — La demande provient-elle d’un emplacement attendu ?
- Score de risque — Selon l’analyse comportementale, cette demande est-elle anormale ?
- Sensibilite des donnees — La ressource consultee est-elle suffisamment sensible pour necessiter une verification supplementaire ?
Le protocole d’evaluation continue des acces (CAEP) etend cette logique au-dela de l’authentification initiale. Au lieu d’accorder un jeton de session valide pendant des heures ou des jours, le CAEP permet une revocation quasi en temps reel — si un appareil sort de la conformite, qu’un compte est signale comme compromis ou que le score de risque de l’utilisateur change, la session est immediatement terminee. Le rapport CrowdStrike 2025 a revele que le temps moyen de « breakout » des attaquants — le delai avant le debut du deplacement lateral — n’etait que de 48 minutes, le plus rapide enregistre etant de 51 secondes, rendant l’evaluation continue indispensable.
Advertisement
PAM : proteger les cles du royaume
La gestion des acces privilegies (PAM) est un sous-ensemble specialise de l’IAM axe sur la protection des comptes les plus puissants d’une organisation — comptes administrateurs, comptes root, comptes de service avec des permissions elevees et toute identite pouvant apporter des modifications significatives a l’infrastructure, aux donnees ou aux configurations de securite. Le marche du PAM a atteint environ 4,5 a 5,5 milliards de dollars en 2025 et constitue l’un des segments a la croissance la plus rapide en cybersecurite.
Les solutions PAM implementent :
Coffre-fort d’identifiants : les identifiants privilegies sont stockes dans un coffre-fort chiffre. Les administrateurs ne voient jamais les mots de passe reels — ils « empruntent » des identifiants temporaires au coffre-fort pour la duree de leur tache. Les identifiants sont automatiquement renouveles apres chaque utilisation.
Acces juste-a-temps (JIT) : au lieu d’un acces administrateur permanent (« privileges permanents »), les utilisateurs demandent un acces eleve pour une tache et une duree specifiques. La demande est approuvee (manuellement ou automatiquement), les privileges sont accordes, et l’acces est automatiquement revoque a l’expiration du delai.
Enregistrement de session : toutes les sessions privilegiees sont enregistrees — chaque commande saisie, chaque ecran consulte, chaque fichier accede. Les enregistrements fournissent des preuves judiciaires pour les enquetes d’incidents et servent de moyen de dissuasion contre les abus.
Application du moindre privilege : les analyses PAM identifient les comptes avec des permissions excessives et recommandent un ajustement — en reduisant l’acces au strict necessaire pour chaque role.
Principaux fournisseurs PAM en 2026 : CyberArk reste le leader du marche, ayant etendu sa couverture aux identites humaines, machines et IA apres l’acquisition de Venafi pour 1,54 milliard de dollars en 2024 et de Zilla Security pour 175 millions de dollars en 2025. BeyondTrust a depasse les 400 millions de dollars de revenus recurrents annuels en 2025. Delinea (anciennement Thycotic + Centrify) continue de rivaliser dans l’espace PAM cloud. Microsoft Entra Privileged Identity Management (PIM) fournit l’acces JIT et les workflows d’approbation pour les environnements Azure et Microsoft 365.
Sans mot de passe : l’aboutissement
La mort annoncee de longue date du mot de passe est enfin en cours. Les passkeys — basees sur la norme FIDO2/WebAuthn — remplacent les mots de passe par des paires de cles cryptographiques stockees sur l’appareil de l’utilisateur :
- Lors de l’enregistrement, l’appareil genere une paire de cles publique/privee. La cle publique est partagee avec le service ; la cle privee ne quitte jamais l’appareil.
- Lors de l’authentification, le service envoie un defi. L’appareil signe le defi avec la cle privee apres que l’utilisateur confirme par biometrie (Face ID, empreinte digitale) ou code PIN de l’appareil.
- Le service verifie la signature a l’aide de la cle publique stockee. L’authentification est terminee — aucun mot de passe n’a ete transmis, stocke ou interceptable.
Pourquoi les passkeys sont transformatrices :
- Resistantes a l’hameconnage : l’authentification est liee au domaine legitime. Un site d’hameconnage sur un domaine different ne peut pas declencher la passkey.
- Pas de base de donnees d’identifiants a pirater : les services ne stockent que des cles publiques, inutiles pour les attaquants.
- Pas de reutilisation de mots de passe : chaque service obtient une paire de cles unique.
- Meilleure experience utilisateur : l’authentification biometrique (reconnaissance faciale, empreinte digitale) est plus rapide et plus facile que la saisie d’un mot de passe suivie de l’attente d’un code MFA.
L’adoption en chiffres : selon le FIDO Alliance Passkey Index 2025, plus d’un milliard de personnes ont active au moins une passkey, et plus de 15 milliards de comptes en ligne prennent desormais en charge l’authentification par passkey. 48 % des 100 principaux sites web prennent en charge les passkeys — plus du double par rapport a 2022. Google rapporte plus de 800 millions de comptes utilisant des passkeys, Amazon a atteint 175 millions d’utilisateurs de passkeys lors de sa premiere annee, et Microsoft a fait des passkeys la methode de connexion par defaut pour les nouveaux comptes en mai 2025, enregistrant une augmentation de 120 % des authentifications par passkey. Dans les entreprises, 87 % des organisations interrogees ont deploye ou implementent activement des solutions de passkeys.
Les donnees de performance renforcent cette evolution : les passkeys atteignent un taux de reussite de connexion de 93 % contre 63 % pour l’authentification traditionnelle. La connexion prend 8,5 secondes avec une passkey contre 31,2 secondes avec le MFA traditionnel — une reduction de 73 % — et les organisations rapportent une reduction de 81 % des appels au helpdesk lies a la connexion.
Le defi reside dans la transition : les mots de passe coexisteront avec les passkeys pendant des annees. La plupart des services proposent les passkeys comme methode de connexion optionnelle aux cotes du mot de passe + MFA, creant une periode ou les deux methodes d’authentification — et leurs vulnerabilites respectives — coexistent.
Advertisement
Radar de Décision (Algeria Lens)
| Dimension | Evaluation |
|---|---|
| Pertinence pour l’Algerie | Tres elevee — Les attaques identitaires constituent le premier vecteur de menace a l’echelle mondiale et l’Algerie ne fait pas exception ; les services publics, le secteur bancaire et les systemes d’entreprise dependent tous de la securite des identites |
| Infrastructure prete ? | Partielle — Les organisations utilisant Microsoft 365 ont acces a Entra ID ; Active Directory sur site est courant mais souvent mal configure ; les solutions PAM restent rares en dehors des grandes entreprises et des telecoms |
| Competences disponibles ? | Limitees — L’administration IAM et PAM requiert des competences specialisees qui sont rares en Algerie ; la plupart des organisations maitrisent la gestion basique d’Active Directory mais manquent d’expertise en securite des identites ; aucun programme de formation FIDO2/passkey n’existe localement |
| Delai d’action | Immediat — Activer l’acces conditionnel et le MFA resistant a l’hameconnage dans les tenants Microsoft 365 existants des maintenant ; planifier le deploiement PAM pour les comptes privilegies sur 6 a 12 mois ; lancer des pilotes passkey dans les 12 mois |
| Parties prenantes cles | Directions informatiques gouvernementales, banques algeriennes (BNA, BEA, CPA), operateurs telecoms (Djezzy, Mobilis, Ooredoo), informatique universitaire, equipes IT d’entreprise, CERT.dz |
| Type de decision | Strategique-Operationnelle — L’identite est la couche de securite fondamentale ; bien la maitriser permet tout le reste |
En bref : Pour les organisations algeriennes utilisant deja Microsoft 365 (la plupart des entreprises et des agences gouvernementales), l’action immediate a plus fort impact consiste a activer les politiques d’acces conditionnel d’Entra ID et a deployer un MFA resistant a l’hameconnage (passkeys ou cles de securite FIDO2) pour tous les comptes administrateurs. Cela est disponible dans les licences existantes (Entra ID P1/P2 avec Microsoft 365 Business Premium ou E3/E5) et repond au premier vecteur d’attaque. Pour les acces privilegies, Microsoft Entra PIM fournit l’acces juste-a-temps et les workflows d’approbation inclus dans les licences existantes. Les organisations disposant d’infrastructures critiques sur site devraient evaluer CyberArk ou BeyondTrust pour un PAM complet. La revolution des passkeys s’accelere a l’echelle mondiale — avec plus d’un milliard d’utilisateurs et 48 % des principaux sites web deja integres — et les organisations algeriennes devraient lancer des programmes pilotes de passkeys pour les systemes internes des maintenant afin de se familiariser avant que les passkeys ne deviennent la norme d’authentification par defaut.
Sources
- Verizon — 2025 Data Breach Investigations Report
- CrowdStrike — 2025 Global Threat Report
- CyberArk — 2025 Identity Security Landscape Survey
- FIDO Alliance — Passkey Index 2025
- Microsoft — Entra ID Documentation
- CyberArk — Privileged Access Management
- Okta — October 2023 Security Incident Update
- NIST — Digital Identity Guidelines (SP 800-63)
- CISA — Zero Trust Maturity Model
- MarketsandMarkets — IAM Market Forecast
Advertisement