Le fossé traditionnel entre la sécurité des identités et des données se réduit rapidement, et c’est une mauvaise nouvelle pour les équipes de sécurité, selon un rapport publié mardi par un fournisseur de solutions de sécurité des identités et des données.
«(L)a prochaine phase de perturbation de la cybersécurité viendra des adversaires qui multiplieront les attaques d’identité pour compromettre la sécurité des données à mesure que l’IA agentique deviendra plus importante», a prédit Netwrix, de Frisco, Texas, dans ses prévisions sur les tendances qui façonneront la cybersécurité en 2026 et au-delà.
D’ici 2026, la sécurité des identités connaîtra une expansion significative de l’orchestration et de l’automatisation des flux de travail en termes de provisionnement, de validation des jetons et de gestion des privilèges, selon le rapport, basé sur des recherches sur les attaques d’identité réelles et les chemins d’exposition des données observés par les chercheurs de Netwrix.
Ces flux de travail déterminent désormais qui et quoi peut accéder aux données sensibles, ce qui signifie que les échecs dans l’automatisation des identités se traduisent directement par un risque d’exposition des données, explique le rapport.
Les adversaires détournent leur attention des informations d’identification individuelles vers l’orchestration des identités, la confiance de la fédération et une automatisation mal configurée, poursuit-il. Étant donné que l’accès aux magasins de données critiques commence par l’identité, une visibilité unifiée sur la sécurité de l’identité et des données est nécessaire pour détecter les erreurs de configuration, réduire les angles morts et réagir plus rapidement.
Ce changement, avertissent les experts, augmente considérablement l’impact potentiel des échecs d’identité.
Expansion du rayon de souffle
« L’orchestration des identités, la confiance de la fédération ou une automatisation défectueuse permettent aux attaquants de contourner les contrôles, de disposer d’un plus grand rayon d’action et de plus d’options d’attaque », a déclaré Dirk Schrader, vice-président de Netwrix pour la recherche en sécurité.
« Les attaquants s’attaquent à l’orchestration des identités parce que c’est le point de levier qui décide qui a accès, quand et dans quelles conditions », a-t-il déclaré à TechNewsWorld. « Le vol d’un ensemble d’informations d’identification a une portée limitée et est souvent neutralisé par la MFA (authentification multifacteur) ou la réinitialisation des mots de passe. »
« Compromettre la couche d’orchestration permet à un attaquant de créer ou de détourner des sessions et des jetons de confiance à grande échelle, de contourner les contrôles en modifiant la politique et de persister en créant de nouvelles identités privilégiées ou des applications OAuth », a-t-il poursuivi.
« L’impact devient unique dans le cloud et le SaaS, et l’activité peut paraître légitimement « conforme » dans les journaux », a-t-il ajouté.
Michael Bell, PDG de Suzu Testing, un fournisseur de services de cybersécurité basés sur l’IA, à Las Vegas, a expliqué que l’orchestration des identités contrôle qui obtient les informations d’identification, comment elles sont délivrées et ce qu’ils peuvent en faire. « Les attaquants ont compris que compromettre le système qui accorde l’accès vaut mieux voler des clés individuelles », a-t-il déclaré à TechNewsWorld.
« La confiance de la fédération est particulièrement intéressante car vous compromettez un fournisseur d’identité et héritez de la confiance dans chaque système qui se fédère avec lui », a-t-il déclaré. « Une automatisation mal configurée est une solution facile, car la plupart des organisations se sont empressées de la déployer sans sécuriser les comptes de service et les jetons API qui la font fonctionner. »
Échec amplifié par l’IA
Les chercheurs de Netwrix ont également constaté que la dépendance entre la sécurité des identités et la sécurité des données devient plus prononcée à mesure que l’automatisation basée sur l’IA fonctionne en continu et à grande échelle.
L’automatisation de l’IA est souvent une chaîne d’agents, a expliqué Schrader. « Chaque agent est une identité non humaine qui nécessite une gouvernance du cycle de vie, et chaque étape accède, transforme ou transmet des données », a-t-il déclaré. « Cela signifie qu’une erreur dans la gouvernance des identités (agent trop autorisé, contrôle faible des jetons, attestation manquante) devient immédiatement un incident de sécurité des données – à la vitesse de la machine et à grande échelle – car le flux de travail continue d’exécuter et de propager les accès et les données en aval. »
« Comme l’automatisation de l’IA fonctionne en continu, l’autorisation devient un système de contrôle en direct, et non un examen trimestriel », a-t-il poursuivi. « Les chaînes d’agents amplifient les échecs. Une identité non humaine trop autorisée peut propager l’accès et les données en aval, comme un mouvement latéral en forme de flux de travail. Les identités non humaines se propagent rapidement via les API et OAuth. Le risque lié aux données évolue également de manière dynamique à mesure que les agents transforment et enrichissent les résultats. «
À grande échelle, une petite erreur politique se transforme en un mouvement massif de données, a ajouté Ensar Seker, RSSI de SOCRadar, une société de renseignement sur les menaces basée à Newark, dans le Delaware. « Le risque ne vient pas seulement de l’IA malveillante, il s’agit également d’erreurs amplifiées : agents trop autorisés, portée faible, privilèges obsolètes, connecteurs trop larges et garde-fous manquants sur l’endroit où les données peuvent circuler », a-t-il déclaré à TechNewsWorld.
L’IA consomme et agit sur les données en continu, et les pipelines et modèles automatisés nécessitent un accès large, souvent en temps réel, aux données, accès accordé et limité via l’identité, a expliqué Nathan Vega, responsable du marketing produit chez Starburst, une société de plateforme de données et d’analyse à Boston.
« Le risque se multiplie avec l’automatisation », a-t-il déclaré à TechNewsWorld. « Une identité de service compromise peut provoquer une exfiltration automatisée de données, un empoisonnement de modèle ou une mauvaise configuration à grande échelle en quelques secondes, ce qui est bien plus rapide que les attaques manuelles. »
Des perspectives changeantes en matière d’assurance
Les chercheurs ont également signalé que les cyber-assureurs modifient leur façon d’évaluer les risques et de fixer leurs tarifs. « Les cyber-assureurs modifient leur évaluation et leurs tarifs parce que l’ancien modèle de « questionnaire annuel » ne prédisait pas les pertes réelles », a déclaré Schrader de Netwrix.
« Les ransomwares, les zero-day systémiques, la concentration dans le cloud et les cascades de tiers créent des risques corrélés et évoluant rapidement – de sorte que l’auto-attestation vieillit mal et que les prix sont exposés », a-t-il poursuivi. « C’est pourquoi de nombreux assureurs s’orientent vers une souscription fondée sur des preuves avec des signaux de configuration et de contrôle, une cadence de vulnérabilité et de mise à jour des correctifs, une capacité de récupération des sauvegardes et une maturité de réponse aux incidents. »
Un domaine qui fera l’objet d’une surveillance accrue de la part des assureurs est la vulnérabilité à la périphérie du réseau. « En 2025, les cyberattaques ciblant les VPN et les pare-feu ont grimpé en flèche en termes de vitesse, de volume et de montant des rançons demandées », a expliqué Paul Asadoorian, chercheur principal sur les menaces chez Eclypsium, un fournisseur de sécurité de la chaîne d’approvisionnement à Portland, Oregon.
« La tendance à exploiter les vulnérabilités des appareils réseau incitera les cyber-assureurs à exiger des protections plus rigoureuses pour ces appareils », a-t-il déclaré à TechNewsWorld. « Cela pourrait inclure des contrôles compensatoires tels que la surveillance directe des passerelles VPN, ainsi que des audits de leur configuration pour garantir leur sécurité contre les attaques. »
« Le rapport a tout à fait raison : le secteur de la cyberassurance change sa façon de penser les incidents », a ajouté Arvind Parthasarathi, fondateur et PDG de Cygnvs, une société multinationale de solutions de réponse aux cyber-incidents.
« Dans le passé, l’idée était qu’un client ou un assuré n’aurait jamais de réclamation », a-t-il déclaré à TechNewsWorld. « Aujourd’hui, le monde évolue vers une situation où il n’y a littéralement aucune somme d’argent qu’une organisation peut dépenser pour garantir qu’elle n’aura jamais d’événement majeur ou de violation. »
Durcissement du marché de l’assurance
Rich Seiersen, directeur de la technologie des risques chez Qualys, un fournisseur de solutions informatiques, de sécurité et de conformité basées sur le cloud à Foster City, en Californie, a souligné qu’au cours de l’année à venir, la plupart des analystes anticipent un durcissement modéré du marché de l’assurance avec des augmentations progressives des primes, une souscription plus sélective et une plus grande attention aux contrôles de sécurité.
« Cependant, il est peu probable que nous revenions à la gravité des marchés difficiles précédents, lorsque les candidats étaient confrontés à des questionnaires complets et à des retards de souscription de longue durée », a-t-il déclaré à TechNewsWorld.
Il a toutefois admis qu’un risque majeur réside dans la possibilité d’un cyber-événement systémique : une panne du cloud, une compromission généralisée de la chaîne d’approvisionnement ou une vague de ransomwares à fort impact qui frappe de nombreux assurés en même temps. « Un événement comme celui-là pourrait pousser le marché dans un cycle de durcissement plus marqué », a-t-il déclaré.
« Néanmoins », a-t-il ajouté, « il est impératif de reconnaître que la tarification de l’assurance est influencée tout autant par des facteurs macroéconomiques, tels que les taux d’intérêt, les flux de capitaux et la tarification de la réassurance, que par des incidents cybernétiques. Les pertes sont importantes, mais les conditions financières plus larges dominent souvent le cycle. »
Changement important en matière de sécurité
Vega de Starburst a noté que le rapport Netwrix met en évidence un changement important : le problème de sécurité concerne de plus en plus l’endroit où le contrôle est appliqué (identité, politique, gouvernance) plutôt que simplement la détection ou le volume de télémétrie. « Les organisations devraient traiter l’orchestration des identités, la gouvernance fédérée et le renforcement de l’automatisation comme des problèmes de sécurité de premier ordre, et non comme des réflexions après coup », a-t-il déclaré.
« Investir dans un accès aux données fédéré et respectueux des politiques, dans des contrôles solides du cycle de vie et de l’exécution des identités et dans une planification robuste de la continuité des fournisseurs seront les différenciateurs pratiques au cours des trois à quatre prochaines années », a-t-il ajouté.
Le point le plus important à retenir du rapport est que la sécurité de l’identité et des données ne peut plus être traitée comme des programmes distincts, a soutenu Seker de SOCRadar. Le plan de contrôle (identité) et l’actif (données) sont désormais couplés par l’automatisation, l’humain et la machine.
« Si vous ne disposez pas d’une visibilité unifiée sur quelles identités peuvent toucher quelles données sensibles, à travers quels flux de travail, vous continuerez à perdre à cause de mauvaises configurations, d’autorisations excessives et d’abus d’identité rapides », a-t-il déclaré.
« Le rapport identifie correctement que l’identité et la sécurité des données convergent vers un seul espace problématique », a ajouté Bell de Suzu Testing. « Les organisations qui rencontrent le plus de difficultés sont celles qui les traitent encore comme des disciplines distinctes, avec des équipes et des budgets distincts. »
« Le véritable risque de l’IA ne réside pas dans les attaques autonomes », a-t-il déclaré. « C’est la surface d’attaque que vous créez en déployant l’IA sans régir les identités et l’accès aux données dont ces systèmes ont besoin pour fonctionner. »
