///
Les chiffres sont sans ambiguite. Selon le rapport 2026 Sophos Active Adversary, 67 % de tous les incidents enquetes etaient enracines dans des attaques liees a l’identite. Le rapport M-Trends 2026 de Mandiant confirme que les identifiants voles ont devance le phishing comme deuxieme vecteur d’acces initial le plus courant. Et les donnees agregees de multiples rapports sectoriels montrent que 65 % des acces initiaux dans les breches sont pilotes par des techniques basees sur l’identite. Les identifiants voles coutent en moyenne 4,81 millions de dollars par breche aux organisations. Malgre des annees d’investissement dans l’authentification multi-facteurs, la securite de l’identite reste la surface d’attaque la plus exploitee.
Pourquoi les identifiants dominent encore
La persistance des attaques basees sur les identifiants defie l’attente que le MFA et les architectures zero trust resolvent le probleme. Trois facteurs structurels expliquent pourquoi :
La reutilisation des identifiants est endemique. Malgre la croissance de l’adoption des gestionnaires de mots de passe, la plupart des utilisateurs reutilisent encore leurs mots de passe entre services. Quand une violation de base de donnees expose des identifiants, les attaquants les testent contre les VPN d’entreprise, les applications SaaS et les consoles cloud.
Le MFA n’est plus une defense fiable. Les kits de phishing adversary-in-the-middle (AiTM) comme EvilProxy et Evilginx interceptent desormais les sessions d’authentification en temps reel, capturant simultanement mots de passe et jetons MFA. Les attaques de fatigue MFA — ou les attaquants bombardent les utilisateurs de notifications push jusqu’a ce qu’ils en approuvent une — continuent de reussir.
Les jetons de session remplacent les identifiants apres authentification. Les attaques modernes ciblent de plus en plus les jetons de session plutot que les identifiants eux-memes. Une fois l’utilisateur authentifie, le jeton de session devient le nouvel identifiant. Les malwares infostealers recoltent ces jetons des navigateurs, et les attaquants les rejouent pour contourner completement l’authentification.
Anatomie d’une breche basee sur l’identite
Le rapport Sophos Active Adversary detaille une chaine de breche identitaire typique : identifiants compromis, utilisation de comptes valides pour se connecter par la porte d’entree, mouvement lateral, escalade de privileges, puis exfiltration de donnees ou deploiement de ransomware. Plus de 90 % des violations de donnees ont ete rendues possibles par des erreurs de configuration ou des lacunes de couverture de securite plutot que par des exploits nouveaux.
Publicité
Ce que les organisations devraient faire
Deployer un MFA resistant au phishing. Les cles materielles FIDO2 et les passkeys sont immunisees contre les attaques proxy AiTM car elles lient l’authentification au domaine specifique.
Implementer la surveillance des identifiants. S’abonner a des services de notification de breches et de surveillance du dark web pour les domaines email d’entreprise.
Reduire la duree de vie des jetons de session. Des durees de session plus courtes limitent la fenetre pendant laquelle les jetons voles sont utiles.
Adopter l’ITDR (detection et reponse aux menaces identitaires). Les plateformes ITDR surveillent specifiquement l’infrastructure d’identite pour les schemas d’attaque que les outils de securite traditionnels manquent.
Auditer les comptes de service. Les comptes de service avec des identifiants statiques et des privileges excessifs sont parmi les actifs les plus cibles.
Point cle
L’authentification n’est pas un controle de securite parmi d’autres. C’est LE controle. Avec 65 % des breches provenant d’attaques basees sur l’identite et le vol d’identifiants coutant 4,81 millions de dollars par incident, la securite de l’identite est l’investissement le plus rentable. Le passage du mot de passe au MFA etait necessaire mais insuffisant. L’etape suivante est l’authentification resistante au phishing, la validation continue des sessions et l’analytique comportementale.
Questions frequemment posees
Pourquoi le MFA n’arrete-t-il pas ces attaques ?
Les techniques modernes de contournement MFA comme le phishing adversary-in-the-middle capturent mots de passe et jetons MFA en temps reel en servant de proxy pour la session d’authentification. Seules les methodes resistantes au phishing comme les cles FIDO2 et les passkeys resistent a ces techniques.
Quelle est la premiere etape la plus rentable pour les organisations a budget securite limite ?
La surveillance des identifiants et les abonnements aux bases de donnees de breches offrent le meilleur retour pour le plus faible cout. Les services qui scannent les places de marche du dark web pour votre domaine email d’entreprise coutent une fraction de ce que coute une seule breche.
Comment l’architecture zero trust aide-t-elle contre les attaques basees sur les identifiants ?
Le zero trust supprime la confiance implicite des sessions authentifiees. Meme avec des identifiants valides, les decisions d’acces considerent l’etat du terminal, le comportement de l’utilisateur, la localisation et la sensibilite de la ressource.
Radar de Decision (Prisme Algerie)
| Dimension | Evaluation |
|---|---|
| Pertinence pour l’Algerie | Elevee — les entreprises algeriennes font face aux memes risques de reutilisation d’identifiants et de contournement MFA, aggraves par des equipes de securite plus reduites |
| Infrastructure prete ? | Partielle — l’adoption du MFA progresse mais le deploiement FIDO2 resistant au phishing est minimal |
| Competences disponibles ? | Partielles — la specialisation en securite de l’identite est rare ; les professionnels generaux doivent se former en detection de menaces identitaires |
| Calendrier d’action | Immediat |
| Parties prenantes cles | RSSI, equipes IAM, analystes SOC, directeurs IT |
| Type de decision | Strategique |
Point cle : Les organisations algeriennes devraient prioriser le MFA resistant au phishing (FIDO2/passkeys) par rapport au MFA traditionnel, implementer la surveillance des identifiants pour les domaines d’entreprise, et commencer a developper des capacites de detection de menaces identitaires.
Sources et lectures complementaires
- Sophos Active Adversary Report 2026 : les attaques identitaires dominent — Sophos
- Rapport 2026 Unit 42 sur la reponse aux incidents — Palo Alto Networks
- Un seul identifiant vole suffit a tout compromettre — Help Net Security
- Le vol d’identifiants coute 4,8 M$ par breche — WWPass
- A07:2025 Defaillances d’authentification — OWASP Top 10
