Par Marc SCHMITT, Consultant sénior Cybersécurité chez SASETY
La cybersécurité a longtemps reposé sur une idée simple : protéger le réseau pour protéger l’entreprise. On fortifiait le périmètre, on segmentait, on contrôlait les flux. Mais le périmètre n’existe plus. Le cloud a éclaté les architectures. Le travail hybride a effacé les frontières physiques. Les applications SaaS ont multiplié les points d’entrée. L’entreprise est devenue distribuée, mouvante, interconnectée.
Dans ce nouvel environnement, un seul élément demeure stable : l’identité.
Chaque accès, chaque transaction, chaque action sensible dépend d’un identifiant reconnu comme légitime. C’est précisément pour cette raison que les attaquants ont changé de cible. Ils ne cherchent plus prioritairement à exploiter une faille technique complexe. Ils cherchent à se faire passer pour quelqu’un de confiance.
L’actualité récente en matière de cyber-attaques majeure démontre clairement cette tendance de fond. De plus en plus d’identités vérifiées sont transmises par des personnes internes à l’organisation (insiders).
Une identité compromise offre un accès discret, crédible et souvent étendu. Elle permet de contourner les barrières traditionnelles sans déclencher immédiatement d’alerte. Dans la majorité des compromissions majeures, l’escalade commence par là : un compte, puis un privilège, puis un mouvement latéral presque indétectable.
Le véritable champ de bataille n’est plus l’infrastructure, c’est l’identité.
La dette invisible des organisations
Dans beaucoup d’entreprises, la gestion des identités s’est construite par couches successives. Les environnements ont évolué, les applications se sont multipliées, les usages se sont transformés sans repenser la gestion des droits et des accès en regard de ces évolutions.
Des comptes persistent après un départ. Des privilèges ne sont jamais réellement réévalués. Des accès temporaires deviennent permanents. À mesure que le système d’information s’hybride, la gouvernance se complexifie.
Cette dette identitaire progresse sans bruit. Pourtant, elle constitue l’un des principaux facteurs de risque. Car plus les droits sont larges et diffus, plus une compromission aura d’impact.
L’enjeu n’est plus uniquement technique. Il touche à la continuité d’activité, à la réputation et à la confiance numérique.
Sortir du réflexe périmétrique
Le modèle du “château fort” qui consiste à protéger l’extérieur pour sécuriser l’intérieur, ne correspond plus à la réalité des usages. Aujourd’hui, l’accès ne dépend plus d’un lieu, mais d’un identifiant et du contexte dans lequel il est utilisé.
Cela impose un changement de posture.
Il ne s’agit plus seulement de gérer des accès, mais de vérifier en permanence la légitimité d’une identité, la cohérence de son comportement et l’adéquation de ses privilèges. Le principe du Zero Trust traduit cette évolution : ne jamais présumer, toujours valider.
Cette approche transforme profondément la manière d’envisager la cybersécurité. Elle place l’identité au centre de l’architecture de défense.
Vers une protection proactive de l’identité
La maturité consiste désormais à anticiper plutôt qu’à réagir. Trop d’organisations découvrent l’ampleur d’un incident une fois la compromission effective. La question devient alors : comment réduire en amont la surface d’attaque identitaire ?
Cela suppose de mieux comprendre l’exposition réelle des comptes, de détecter les signaux faibles d’usurpation et de limiter structurellement les privilèges excessifs. Ce travail ne relève pas d’un outil isolé, mais d’une démarche globale, articulée entre technologie, gouvernance et opérations.
C’est dans cette logique que s’inscrit le service SASETY Identity Guard, qui propose une approche centrée sur l’utilisateur et son identité comme point d’ancrage de la défense. L’objectif n’est pas d’ajouter une couche supplémentaire à un empilement déjà complexe, mais de restaurer une visibilité cohérente et continue sur ce qui constitue aujourd’hui le cœur du risque : les identités et leurs expositions.
SASETY Identity Guard
Autour de ces identités gravitent plusieurs briques de sécurité : la messagerie, le fournisseur d’identité (IdP), la protection du poste de travail (EDR) et le réseau. Historiquement, ces composants fonctionnent souvent de manière indépendante. Chacun détecte ses propres alertes, applique ses propres règles, sans toujours partager une vision globale du risque.
L’approche d’Identity Guard consiste à relier ces briques entre elles autour d’un référentiel commun : le niveau de risque de l’identité.
Concrètement, chaque interaction, tentative de connexion, comportement inhabituel, signal issu de la messagerie ou du poste de travail, alimente un moteur d’évaluation. Ce moteur attribue un niveau d’alerte gradué, inspiré des niveaux DEFCON. Plus le risque est élevé, plus les contrôles se renforcent.
Cela peut se traduire, par exemple, par une demande d’authentification renforcée, une restriction temporaire de privilèges ou un blocage d’accès à certaines ressources sensibles.
Ce modèle introduit une logique adaptative. La sécurité n’est plus statique, elle devient contextuelle. Elle s’ajuste en fonction du comportement réel de l’identité et des signaux collectés dans l’environnement.
L’intérêt est double.
D’une part, il devient possible de réagir plus tôt dans la chaîne d’attaque, avant qu’une compromission ne se transforme en incident majeur. D’autre part, les contrôles sont proportionnés au niveau de risque, évitant d’imposer des contraintes excessives lorsque le contexte est sain.
En plaçant l’identité au centre et en corrélant les signaux issus de la messagerie, de l’authentification, du poste et du réseau, l’objectif est de transformer un empilement d’outils en un dispositif cohérent, piloté par la réalité du risque.
Autrement dit, il ne s’agit plus seulement de protéger des briques techniques, mais de protéger l’utilisateur et ce qu’il peut faire, en temps réel.
Un enjeu stratégique pour les prochaines années
L’industrialisation des attaques, amplifiée par l’intelligence artificielle, renforce encore cette pression. Les tentatives d’usurpation deviennent plus convaincantes, plus rapides, plus difficiles à distinguer d’une activité légitime.
Dans ce contexte, continuer à penser la cybersécurité uniquement en termes d’infrastructure serait une erreur d’analyse. La confiance numérique repose désormais sur la capacité à maîtriser et protéger les identités.
La question n’est plus de savoir si l’identité est critique. Elle est de savoir si elle est réellement considérée comme le nouveau périmètre stratégique de défense.
