Comprendre l'Identity Dark Matter : La Menace Invisible de 2025
Orphée Grandsable
Selon les dernières analyses de cybersécurité, près de la moitié de l’univers des identités numériques reste non cartographiée, créant une surface d’attaque massive pour les cybercriminels, notamment à travers des techniques d’attaque sophistiquées comme ClickFix. Vous pensez maîtriser vos accès ? Détrompez-vous.
Dans un écosystème technologique fragmenté entre SaaS, cloud hybride et applications locales, une grande partie de vos identités opère dans l’ombre. Ce phénomène, baptisé Identity Dark Matter (matière noire des identités), représente aujourd’hui le défi le plus critique pour la gouvernance informatique et la sécurité des données en France et dans le monde.
L’expansion galopante de l’invisible
L’identité ne vit plus simplement dans un annuaire LDAP ou un système RH. Elle est éclatée. Chaque environnement — qu’il soit SaaS, IaaS, PaaS ou application interne — possède ses propres comptes, ses propres flux d’authentification et ses propres droits.
Les outils traditionnels de gestion des identités et des accès (Identity and Access Management - IAM) ainsi que de gouvernance des identités (Identity Governance and Administration - IGA) ne gouvernent que la partie émergée de l’iceberg. Ils ne couvrent que les utilisateurs et applications parfaitement intégrés. Tout le reste demeure invisible : ce réservoir d’identités non vérifiées, non humaines et non protégées.
La complexité de l’onboarding
Chaque nouvelle application ou modernisation exige un travail colossal : connecteurs, mappage de schémas, catalogues d’entitlements, modélisation des rôles. Ce processus est coûteux et long. Résultat ? De nombreuses applications ne sont jamais intégrées aux outils de gouvernance classiques. C’est la source première de la fragmentation.
L’émergence des identités non humaines (NHIs)
Au-delà de la couche humaine se cache un défi encore plus vaste. Les Non-Human Identities (NHIs) — API, bots, comptes de service et processus d’agents IA — communiquent et agissent sur l’infrastructure. Souvent créés et oubliés sans propriétaire ni contrôle de cycle de vie, ces entités forment la couche la plus profonde et la plus invisible de la matière noire des identités.
Les composantes de la matière noire des identités
À mesure que les organisations modernisent, le paysage de l’identité se fragmente en plusieurs catégories à haut risque. Il est crucial de les identifier pour réduire la surface d’attaque.
Voici les principales composantes à surveiller en 2025 :
- Applications fantômes (Shadow Apps) : Ce sont des applications opérant hors de la gouvernance corporative, souvent parce que le coût d’onboarding traditionnel était trop élevé.
- Identités non humaines (NHIs) : Une couche en pleine expansion incluant les API, les bots et les comptes de service qui agissent sans supervision.
- Comptes orphelins et périmés : Une réalité statistique inquiétante. Selon les études récentes, 44 % des organisations déclarent posséder plus de 1 000 comptes orphelins, et 26 % de tous les comptes sont considérés comme périmés (inutilisés depuis plus de 90 jours).
- Entités Agents IA : Des agents autonomes qui effectuent des tâches et accordent des accès de manière indépendante, brisant les modèles d’identité traditionnels.
Pourquoi l’Identity Dark Matter est une crise sécuritaire
La croissance de ces entités non gouvernées crée des “zones d’aveuglement” où les risques prospèrent. En 2024, 27 % des violations de données cloud ont impliqué la mauvaise utilisation de crédentiels dormants, y compris les comptes orphelins et locaux.
Les risques principaux sont multiples et interconnectés :
L’abus de crédentiel
Les crédentiels restent le vecteur d’attaque privilégié. 22 % de toutes les violations sont attribuées à l’exploitation de comptes compromis, souvent initiées par des arnaques aux cryptomonnaies et ingénierie sociale. Lorsque ces comptes appartiennent à la “matière noire”, ils sont d’autant plus dangereux qu’ils ne sont pas surveillés.
Les lacunes de visibilité
Une entreprise ne peut pas évaluer ce qu’elle ne voit pas. Cela crée une illusion de contrôle. Les équipes de sécurité pensent maîtriser l’accès, alors que des milliers d’identités opèrent en dehors des radars.
“On ne peut pas sécuriser ce que l’on ne peut pas voir. L’absence de visibilité est la plus grande faille de sécurité des organisations modernes.”
L’échec de la conformité et de la réponse
Les identités non gérées échappent aux périmètres d’audit. En cas d’incident, elles ralentissent considérablement les temps de réponse car les équipes ne comprennent pas qui a fait quoi, ni comment.
De la configuration à l’observabilité : la solution
Pour éliminer la matière noire des identités, il faut passer d’une IAM basée sur la configuration à une gouvernance basée sur les preuves. C’est le concept d’Observabilité des Identités (Identity Observability). Elle offre une visibilité continue sur chaque identité.
Les trois piliers de la résilience cyber
Selon l’approche Orchid Perspective, l’avenir de la résilience cyber repose sur trois piliers fondamentaux :
- Tout voir (See Everything) : Collecter la télémétrie directement depuis chaque application, sans se limiter aux connecteurs IAM standards.
- Tout prouver (Prove Everything) : Construire des pistes d’audit unifiées qui démontrent qui a accédé à quoi, quand et pourquoi.
- Tout gouverner (Govern Everywhere) : Étendre les contrôles aux identités gérées, non gérées et aux agents IA.
En unifiant télémétrie, audit et orchestration, les entreprises peuvent transformer la matière noire des identités en une vérité actionnable.
Tableau comparatif : IAM Traditionnel vs Observabilité des Identités
Pour clarifier la différence d’approche, voici une comparaison des paradigmes :
| Critère | IAM / IGA Traditionnel | Observabilité des Identités (Nouvelle approche) |
|---|---|---|
| Périmètre | Applications “intégrées” uniquement | Tous les environnements (SaaS, Cloud, Legacy) |
| Visibilité | Partielle (basée sur les connecteurs) | Complète (télémétrie directe) |
| Gestion des NHIs | Faible ou inexistante | Native et automatisée |
| Audit | Basé sur la configuration | Basé sur la preuve (Evidence-based) |
| Réactivité | Lente (détection manuelle) | Rapide (détection continue) |
Exemple concret : le cas d’une fuite de données bancaires
Imaginons une banque française qui a migré vers le cloud mais a laissé des comptes de service actifs sur un ancien serveur local. Un attaquant exploite ce compte orphelin (matière noire) pour pivoter vers le cloud.
Avec l’IAM traditionnel, l’alerte aurait été manquée car le compte n’était plus sous surveillance active. Avec l’observabilité, la télémétrie aurait détecté une anomalie de comportement sur un compte inactif depuis 6 mois, déclenchant une réponse immédiate. C’est ce qui aurait pu éviter des fuites de données massives dans le secteur de la santé comme celle de Covenant Health.
Code / Encadré : Exemple de détection d’entité fantôme
Voici une représentation conceptuelle de ce que l’observabilité cherche à identifier :
{
"entity_id": "svc_legacy_backup",
"type": "Service Account",
"last_seen": "2024-08-15",
"privileges": ["root_access", "db_read"],
"owner": "Unknown",
"risk_score": "Critical",
"action_required": "Review or Revoke"
}
Mise en œuvre : Étapes pour illuminer la matière noire
Pour mettre en place une stratégie efficace contre l’Identity Dark Matter, suivez ces étapes concrètes :
- Audit initial des non-humains : Listez toutes les API, clés et comptes de service connus. C’est souvent là que se cache le plus de risques.
- Déploiement de la télémétrie : Installez des sondes ou des agents capables de remonter les accès même sur les applications non standardisées.
- Cartographie des droits périmés : Utilisez des scripts pour identifier les comptes non utilisés depuis +90 jours et demandez une justification.
- Automatisation du cycle de vie : Mettez en place des processus automatiques de révocation dès qu’un compte est détecté comme inactif ou orphelin.
- Formation et culture : Sensibilisez les équipes DevOps et métiers sur les risques des comptes de service non gérés.
Conclusion : Passez à l’action dès maintenant
L’Identity Dark Matter n’est pas un concept théorique, c’est une réalité tangible qui grandit avec chaque nouvelle application déployée. En 2025, ignorer cette partie immergée de l’iceberg de l’identité revient à accepter un risque sécuritaire inacceptable.
Ne vous contentez plus d’une gouvernance basée sur la configuration. Adoptez une approche fondée sur la preuve et l’observabilité continue. C’est le seul moyen de transformer cette obscurité en visibilité et de sécuriser votre périmètre de bout en bout.
Prêt à éclairer vos zones d’ombre ? Commencez par évaluer vos comptes non humains et vos applications fantônes dès aujourd’hui.