Identity Dark Matter : Le Risque Silencieux qui Mine Votre Sécurité en 2025
Séraphine Clairlune
En 2024, 27 % des violations cloud impliquaient la mauvaise utilisation de comptes dormants, un chiffre révélateur d’une menace invisible. Alors que les équipes de sécurité se concentrent sur les identités gérées, une masse critique d’entités non supervisées s’étend dans l’ombre de l’infrastructure.
Comprendre la nature insaisissable de l’identité
L’identité ne vit plus dans un seul endroit. L’ère du répertoire LDAP unique ou du portail IAM centralisé est révolue. Aujourd’hui, l’identité est fragmentée entre SaaS, environnements locaux, IaaS, PaaS, applications maison et systèmes de l’ombre (shadow IT). Chacun de ces environnements porte ses propres comptes, permissions et flux d’authentification.
Les outils traditionnels d’IAM (Identity and Access Management) et d’IGA (Identity Governance and Administration) ne gouvernent que la moitié presque entièrement gérée de cet univers : les utilisateurs et les applications intégrés et cartographiés. Tout le reste reste invisible : la masse non vérifiée, non humaine et non protégée d’identités que l’on appelle l’identity dark matter (matière noire de l’identité).
Chaque nouvelle ou modernisation d’application exige une intégration : connecteurs, mappage de schéma, catalogues d’entités et modélisation des rôles. Beaucoup d’applications n’atteignent jamais ce stade. Le résultat est une fragmentation : des identités et des permissions non gérées opérant hors de la gouvernance d’entreprise.
Les composantes de la matière noire de l’identité
Au fur et à mesure que les organisations modernisent, le paysage de l’identité se fragmente en plusieurs catégories à haut risque. Ces entités constituent le cœur de l’identity dark matter et représentent une menace grandissante pour la souveraineté numérique.
Applications non gérées et Shadow IT
Les applications qui opèrent hors de la gouvernance d’entreprise en raison du coût et du temps nécessaires à l’intégration traditionnelle forment la première couche. En pratique, les équipes déploient rapidement des solutions SaaS pour répondre à des besoins urgents, sans passer par le processus rigide de l’IAM d’entreprise. Ces accès échappent aux politiques de sécurité standard, créant des brèches dans le périmètre.
Identités Non Humaines (NHIs)
Une couche en expansion rapide incluant les API, les bots et les comptes de service qui agissent sans surveillance. Selon les dernières analyses de sécurité, le nombre de NHIs dépasse désormais de loin celui des utilisateurs humains. Ces entités possèdent souvent des privilèges élevés pour fonctionner, mais leur cycle de vie est rarement suivi.
Comptes Orphelins et Stales
Les statistiques récentes sont alarmantes : 44 % des organisations déclarent posséder plus de 1 000 comptes orphelins, et 26 % de tous les comptes sont considérés comme “stales” (inutilisés depuis plus de 90 jours). Ces comptes sont des portes d’entrée idéales pour les attaquants.
Entités Agent-AI
Les agents autonomes qui effectuent des tâches et accordent des accès de manière indépendante brisent les modèles d’identité traditionnels. En 2025, avec la prolifération de l’IA générative, ces entités agissent souvent sans supervision humaine directe, modifiant les permissions et accédant aux données de manière opaque.
Pourquoi l’identity dark matter est une crise de sécurité
La croissance de ces entités non gérées crée des “zones d’ombre” significatives où les risques cyber prospèrent. L’illusion de contrôle est peut-être le danger le plus insidieux : les équipes de sécurité pensent maîtriser leur périmètre alors que des milliers d’identités échappent à leur vigilance.
Les risques principaux
- Abus de credentials : 22 % de toutes les violations sont attribuées à l’exploitation de credentials compromis, notamment via des techniques d’ingénierie sociale comme les faux écrans BSOD ClickFix. Lorsque ces credentials appartiennent à des comptes non gérés, la détection est d’autant plus difficile.
- Lacunes de visibilité : Les entreprises ne peuvent pas évaluer ce qu’elles ne voient pas. L’absence de cartographie complète des identités empêche toute analyse de risque fiable.
- Échecs de conformité et de réponse : Les identités non gérées se situent hors des périmètres d’audit et ralentissent les temps d’intervention lors d’un incident. Le RGPD et les normes comme l’ISO 27001 exigent une traçabilité totale qui est impossible sans visibilité sur ces entités.
- Menaces cachées : La matière noire masque le mouvement latéral, les menaces internes et l’escalade de privilèges. Un attaquant peut utiliser un compte de service oublié pour se déplacer silencieusement d’un système à l’autre.
“En 2024, 27 % des violations cloud impliquaient la mauvaise utilisation de comptes dormants, y compris les comptes orphelins et locaux.”
De la configuration à l’observabilité : la nouvelle approche
Pour éliminer l’identity dark matter, les organisations doivent passer d’une IAM basée sur la configuration à une gouvernance basée sur les preuves. Cela est réalisé grâce à l’Identity Observability (Observabilité des Identités), qui fournit une visibilité continue à travers chaque identité.
Les trois piliers de la résilience cyber
Selon les experts du secteur, l’avenir de la résilience cyber nécessite une approche à trois piliers :
- Tout voir (See Everything) : Collecter la télémétrie directement depuis chaque application, pas seulement via les connecteurs IAM standards. Cela implique d’observer le code lui-même et les flux d’authentification natifs.
- Tout prouver (Prove Everything) : Construire des pistes d’audit unifiées qui montrent qui a accédé à quoi, quand et pourquoi. La conformité ne doit plus être revendiquée, elle doit être démontrée.
- Tout gouverner (Govern Everywhere) : Étendre les contrôles aux identités gérées, non gérées et aux entités Agent-AI.
En unifiant la télémétrie, l’audit et l’orchestration, les entreprises peuvent transformer la matière noire de l’identité en une vérité actionnable.
Tableau comparatif : IAM Traditionnel vs Identity Observability
| Critère | IAM Traditionnel | Identity Observability |
|---|---|---|
| Périmètre | Applications “gérées” uniquement | Tous les environnements (SaaS, Locals, Cloud) |
| Visibilité | Basée sur les connecteurs | Basée sur la télémétrie directe (code) |
| NHIs | Gestion manuelle limitée | Découverte et gouvernance automatiques |
| Conformité | Basée sur les politiques | Basée sur la preuve (audit continu) |
| Temps d’intégration | Semaines/Mois | Heures/Jours |
Exemple concret : Le cas d’une fuite de données SaaS
Imaginons une entreprise française du secteur de la santé, similaire au cas réel de Covenant Health qui déploie un nouvel outil de gestion de patientèle en SaaS sans l’intégrer à son IAM central. Les développeurs créent des comptes administrateurs locaux pour les tests. Six mois plus tard, ces comptes sont oubliés mais restent actifs avec des privilèges élevés.
Un attaquant exploite l’une de ces identités orphelines via une attaque par force brute. Comme le trafic ne transite pas par le VPN d’entreprise et que l’application n’est pas surveillée par l’IAM, l’intrusion passe inaperçue pendant des semaines. C’est l’identity dark matter en action : une identité non gérée, non audité, qui a masqué le mouvement latéral.
Mise en œuvre : Étapes pour illuminer la matière noire
Pour adresser ce problème en 2025, voici une démarche structurée que les équipes de sécurité peuvent suivre :
- Audit immédiat des accès orphelins : Utiliser des outils de scanning pour identifier les comptes inutilisés depuis plus de 90 jours sur les SaaS critiques et les environnements locaux.
- Inventaire des NHIs : Lister toutes les clés API, tokens de service et comptes de bots. Associer chaque entité à un propriétaire humain ou à une équipe responsable.
- Déploiement de l’observabilité : Instrumenter les applications pour remonter les logs d’authentification en temps réel vers une plateforme centralisée, indépendamment de leur localisation.
- Automatisation du cycle de vie : Mettre en place des workflows automatisés pour la révocation des accès dès qu’un employé quitte l’entreprise ou qu’une application est décommissionnée.
- Politique de tolérance zéro pour le Shadow IT : Créer un processus d’onboarding simplifié pour que les équipes puissent intégrer leurs applications rapidement, évitant ainsi la création d’accès non gérés.
“L’avenir de la résilience cyber réside dans une infrastructure d’identité qui fonctionne comme une observabilité pour la conformité et la sécurité : voir comment l’identité est codée, comment elle est utilisée et comment elle se comporte.”
Conclusion : Transformer l’invisible en action
L’identity dark matter n’est pas une fatalité technologique, mais le résultat d’une complexité infrastructurelle non maîtrisée. En 2025, ignorer cette réalité revient à laisser la porte ouverte aux cybercriminels qui exploitent précisément ces zones d’ombre, souvent à travers des arnaques cryptomonnaies sophistiquées par email et Telegram.
Les solutions d’IAM classiques atteignent leurs limites face à la fragmentation moderne. La clé du succès réside dans l’adoption d’une approche d’observabilité qui ne se contente pas de gérer les identités connues, mais qui découvre et sécurise activement celles qui sont invisibles.
Il est impératif de passer du discours sur la sécurité à la démonstration de la sécurité. L’audit continu et la télémétrie directe sont les seuls moyens de garantir que votre périmètre d’identité est réellement sous contrôle. Ne laissez pas la matière noire de l’identité définir votre surface d’attaque.