Les violations de systèmes liées à l’identité sont en augmentation et les services d’assistance organisationnels apparaissent comme une cible populaire pour les acteurs de la menace, selon un nouveau rapport de RSA.
Le rapport, basé sur une enquête mondiale menée auprès de 2 100 professionnels de la cybersécurité, de la gestion des identités, des accès et de l’informatique, révèle que plus des deux tiers des organisations participant au projet (69 %) ont subi une violation d’identité au cours des trois dernières années, soit une augmentation de 27 % par rapport au rapport RSA ID IQ de l’année dernière.
« Il y a une augmentation des violations liées à l’identité parce que les acteurs de la menace sont de plus en plus habiles à contourner les mesures de sécurité habituelles », a déclaré Laura Marx, directrice du marketing et de la croissance de RSA.
« Il existe une pléthore d’informations accessibles sur les individus, qui alimentent les renseignements des acteurs de la menace et leur permettent d’assumer le rôle de quelqu’un qui a suffisamment de connaissances pour contourner une mesure de sécurité typique », a-t-elle déclaré à TechNewsWorld.
Plusieurs facteurs convergents sont à l’origine de l’augmentation des violations liées à l’identité, a ajouté David Bellini, PDG de CyberFOX, une société de gestion d’identité, à Tampa, en Floride. « L’expansion du travail à distance et des services basés sur le cloud a considérablement augmenté la surface d’attaque », a-t-il déclaré à TechNewsWorld.
Il a également souligné que de nombreuses organisations s’appuient encore sur des systèmes d’identité existants dépourvus de protections modernes telles que l’authentification multifacteur (MFA) ou l’analyse comportementale. Les attaquants exploitent de plus en plus les tactiques d’ingénierie sociale et de contournement du service d’assistance pour exploiter les vulnérabilités humaines plutôt que techniques.
L’identité devient le nouveau périmètre
« L’augmentation de 27 % des violations d’identité sur une année ne me surprend pas, et je pense que cela va continuer pendant un certain temps », a observé Mark St. John, co-fondateur et COO de Neon Cyber, un fournisseur d’outils de sécurité basés sur un navigateur, à Fort Worth, au Texas.
« Nous commençons seulement à voir les résultats des dernières années de vidage de données et de pulvérisation de mots de passe, ainsi que de la nouvelle génération d’ingénierie sociale basée sur l’IA », a-t-il déclaré à TechNewsWorld. « Nous avons laissé un trésor de données d’identité permettant aux attaquants de lancer une attaque d’identité convaincante contre presque tout le monde. »
« Les données d’identité, associées à notre volonté d’adopter rapidement les applications SaaS, continueront d’être utiles aux attaquants de toutes tailles et de toutes compétences », a-t-il déclaré. « Les organisations ont eu déjà assez de mal à empêcher les attaquants d’accéder aux applications et infrastructures auto-hébergées. L’explosion et la propagation des applications SaaS, au-delà de la visibilité totale des organisations, constituent la prochaine surface d’attaque à risque. »
« Compte tenu de la complexité du paysage moderne des identités, il est trop facile pour les attaquants d’exploiter les identités et de les utiliser pour traverser les silos organisationnels et technologiques en exploitant les chemins d’accès aux privilèges associés à ces identités », a ajouté James Maude, directeur technique de BeyondTrust, un fabricant de solutions de gestion de comptes privilégiés et de gestion des vulnérabilités, à Carlsbad, en Californie.
Selon lui, l’identité est devenue le nouveau périmètre. « Les organisations, ainsi que les individus, commencent à s’en rendre compte et à mieux comprendre et protéger leur surface d’attaque d’identité », a-t-il déclaré à TechNewsWorld.
Coûts croissants des violations
Mike Malone, PDG et fondateur de Smallstep – une société de cybersécurité basée à San Francisco spécialisée dans la gestion des certificats et l’automatisation des infrastructures sécurisées – a convenu que l’identité est devenue le nouveau périmètre de sécurité. « Mais la plupart des organisations n’en garantissent encore que la moitié », a-t-il déclaré à TechNewsWorld.
« Ils ont accompli un travail acharné pour mettre en œuvre l’identité des utilisateurs via SSO (authentification unique) et MFA, mais ils n’ont pas étendu la même rigueur aux appareils », a-t-il expliqué. « Chaque ordinateur portable, téléphone ou serveur devient un angle mort potentiel s’il n’est pas vérifié cryptographiquement. Les attaquants comprennent cette lacune et l’exploitent pour se déplacer latéralement ou usurper l’identité de systèmes de confiance. »
« Le travail hybride, la prolifération du cloud et le shadow IT ont multiplié le nombre de points de terminaison non gérés, tandis que les anciens cadres d’identité tels que les certificats SCEP n’ont jamais été conçus pour l’échelle actuelle », a-t-il poursuivi. « Le résultat est un environnement dans lequel les organisations ne peuvent pas toujours savoir si une demande valide d’un utilisateur provient d’une machine fiable ou de l’ordinateur portable d’un attaquant, ce qui entraîne une augmentation des violations liées à l’identité, dont beaucoup ne sont pas détectées. »
Le rapport de la RSA révèle également que les coûts liés aux atteintes à l’identité ont augmenté. Près de la moitié des organisations (45 %) ont déclaré que le coût d’une violation d’identité dépassait le coût typique d’une violation tel que défini par IBM, 24 % d’entre elles notant que les coûts dépassaient 10 millions de dollars, soit une augmentation de trois points de pourcentage d’une année sur l’autre depuis l’enquête de l’année précédente.
« Elles coûtent plus cher qu’une violation classique, car elles s’étendent plus largement et plus profondément au sein d’une organisation », a expliqué Marx de RSA. « Si vous obtenez les informations d’identification d’une personne et êtes en mesure de pénétrer dans les pools de données d’un système, il est extrêmement coûteux de remédier ou de rectifier la situation, car l’identité touche vraiment tout. »
« Un utilisateur compromis peut avoir accès à plusieurs systèmes de sécurité ou à plusieurs bases de données ou informations privées », a ajouté Ambuj Kumar, fondateur de Simbian, un fournisseur d’agents d’IA autonomes pour la cybersécurité, à Mountain View, en Californie.
« Tous ces éléments seraient facilement accessibles et disponibles pour l’attaquant », a-t-il déclaré à TechNewsWorld. « S’il est compromis, un « bon » utilisateur peut faire bien plus de mal qu’une simple violation de données. »
Brad Lassiter, PDG de LastTech, une société de services informatiques de New York, a soutenu que l’identité est l’élément fondamental de la cybersécurité et de l’environnement informatique modernes. « De nombreuses organisations consacrent des ressources à la protection de leurs ordinateurs et de leurs données, oubliant que l’identité d’un utilisateur est la clé principale pour déverrouiller l’accès à tout », a-t-il déclaré à TechNewsWorld.
« Une violation de données traditionnelle signifie qu’un attaquant a obtenu des données », a-t-il déclaré. « Une violation d’identité, qu’il s’agisse d’une compromission de courrier électronique ou d’un autre accès à l’identité, permet un accès illimité à toutes les données de cet utilisateur, à toutes les données auxquelles l’utilisateur peut accéder, ainsi qu’à l’influence que l’utilisateur exerce sur les systèmes et les autres utilisateurs. »
Les centres d’assistance deviennent des cibles privilégiées
Le rapport de RSA note également qu’à la suite de violations très médiatisées survenues dans les hôtels MGM, Caesars Entertainment Group et Marks & Spencer, les organisations sont de plus en plus préoccupées par la sécurité du service d’assistance. Près des deux tiers des personnes interrogées (65 %) ont déclaré qu’elles étaient sérieusement préoccupées par une attaque similaire contre leur service d’assistance, et 51 % considèrent les attaques de contournement du service desk comme leur risque le plus important.
« Le service d’assistance est devenu une vulnérabilité clé pour les organisations, car un acteur malveillant peut tromper un service d’assistance en lui accordant des privilèges », a noté Marx de RSA. « Il peut s’agir d’un acteur menaçant se faisant passer pour un employé ayant besoin d’accéder à des fichiers et à des données, ou d’un acteur menaçant se faisant passer pour quelqu’un travaillant dans un service d’assistance pour amener un employé individuel à lui donner ses informations d’identification lui permettant d’entrer dans une organisation. »
Les centres de services sont mûrs pour les attaques d’ingénierie sociale, a ajouté Andy Thompson, chercheur principal en cybersécurité chez CyberArk, une société de sécurité de l’information à Newton, dans le Massachusetts. « Comme son nom l’indique, leur priorité est de fournir un service plutôt que la sécurité », a-t-il déclaré à TechNewsWorld. « Souvent, ils sont mesurés par des accords de niveau de service qui pourraient les inciter à clôturer des tickets qu’ils ne clôtureraient pas autrement. »
« De plus, » a-t-il poursuivi, « de nombreux centres de services sont distants ou offshore. Ces utilisateurs n’ont aucune idée avec qui ils parlent et ont du mal à valider efficacement l’identité de leurs clients. »
Malgré les menaces posées par une mauvaise gestion des identités, les chercheurs de RSA ont constaté que plus de la moitié des organisations interrogées (57 %) n’ont pas fait de l’authentification sans mot de passe leur principale méthode. Un nombre écrasant de personnes interrogées (90 %) ont signalé des difficultés à évoluer vers une authentification sans mot de passe.
« Malgré ses avantages, l’adoption du sans mot de passe est entravée par l’infrastructure existante, la résistance des utilisateurs et la complexité de l’intégration », a déclaré Bellini de CyberFOX. « De nombreuses organisations sont encore liées à des systèmes qui ne prennent pas en charge les méthodes d’authentification modernes. »
Greg Nelson, PDG de RSA, a souligné que le rapport RSA ID IQ 2026 souligne que l’identité fait tout simplement défaut à trop d’organisations. « La probabilité d’une violation – et le coût de l’inaction – sont trop élevés pour que les dirigeants tolèrent le statu quo », a-t-il déclaré dans un communiqué. « Au lieu de cela, ces nouvelles découvertes devraient inciter les organisations à agir rapidement pour assurer leur sécurité. »
