Dans les architectures modernes, l'identité ne vit plus seulement dans les répertoires et consoles de l'IAM. Les applications, les API, les comptes de service et les mécanismes d'authentification eux-mêmes ont gardé la logique d'identité, laissant des identifiants cachés dans les flux de code et d'autorisation qui sont appliqués localement. Le résultat est un paysage dans lequel le contrôle centralisé ne voit qu'une partie du trafic: une couche invisible d'identités et de routes d'accès qui échappent aux outils conventionnels.
Lorsqu'on parle aux dirigeants de la sécurité et de l'identité dans les entreprises, la même métaphore apparaît souvent : il y a de la matière noire dans l'univers de l'identité. Non pas parce qu'il n'existe pas, mais parce que les solutions traditionnelles ne le détectent pas. Bien que les systèmes de gestion de l'identité et de l'accès et les gestionnaires de privilèges fonctionnent bien pour les comptes gérés et les politiques explicites, ils restent souvent en deçà des références intégrées dans les applications, la logique d'autorisation personnalisée ou les identités non humaines qui communiquent entre les services. Non seulement ce phénomène complique les interventions en cas d'incident, mais il entraîne aussi des évaluations des risques et des audits qui impliquent des reconstructions manuelles et fragmentées.
La gravité de ce problème n'est pas nouvelle pour la communauté sécuritaire. Des organisations comme le NIST se sont concentrées sur les pratiques d'identité numérique et l'authentification, tandis que des projets communautaires comme l'OWASP mettent en garde contre la gestion dangereuse des secrets dans les applications. Les consultations techniques et les guides des fournisseurs recommandent de remplacer les références codées en dur par des mécanismes gérés, tels que les identités gérées et les gestionnaires secrets, précisément pour réduire ce type d'exposition (voir, par exemple, le guide NIST). DS 800-63 et la feuille secrète OWASP Gestion des secrets Feuille de chaleur).
S'attaquer à cette « matière noire » nécessite de changer l'orientation : ne vous fiez plus qu'aux configurations et aux modèles des politiques et commencez à regarder comment l'identité est utilisée en temps réel dans les applications. Dans la pratique, cela signifie la mise en œuvre d'applications pour détecter quelles méthodes d'authentification sont utilisées, où résident les références et quelles voies d'accès sont utilisées en dehors du contrôle du fournisseur d'identité. Lorsque l'observation est effectuée de façon légère et continue, un inventaire précis des applications, des identités et des flux d'authentification peut être construit en cours d'utilisation, dans des environnements gérés et oubliés.
Avec des données réelles sur qui ou ce qui accède à la ressource, la prochaine étape logique est d'analyser. Une analyse basée sur le comportement d'observation permet de prioriser les risques qui sont effectivement exploités ou peuvent être exploités, plutôt que de se concentrer sur la correction des cas théoriques. En corrélant identités, services et routes d'accès, les situations critiques peuvent être mises en évidence : identifications partagées ou boissons dans les dépôts, comptes de services orphelins, ou itinéraires privilégiés opérant en dehors de IAM et PAM. Cette approche réduit le bruit et attire l'attention sur ce qui compte vraiment pour la sécurité opérationnelle.
La détection et la compréhension ne suffisent pas si elles ne sont pas coordonnées. L'étape de l'orchestration est celle qui convertit les résultats en remédiations réelles : intégrer la visibilité avec les processus de l'IAM, les flux de gestion des privilèges et les outils de billetterie pour attribuer des responsabilités, hiérarchiser selon l'impact et suivre les progrès jusqu'à la clôture. L'idée n'est pas de remplacer les contrôles existants, mais de les compléter par un contexte fiable qui permette des décisions éclairées et la traçabilité des actions.
Enfin, il y a un élément souvent oublié : la preuve. La tenue d'un registre continu des découvertes et des analyses transforme la vérification d'une tâche opportune et stressante en un processus durable. Les équipes de CR et d'audit peuvent accéder aux inventaires, aux tests d'utilisation de l'identité, aux lacunes et aux documents d'assainissement, sans compter uniquement sur la collecte manuelle. Cela accélère la conformité et réduit les frictions entre sécurité, développement et affaires.
Les avantages pratiques pour le matériel de sécurité sont clairs : visibilité accrue au niveau de l'application, zone d'exposition réduite associée à des voies d'accès non gérées, préparation plus rapide des audits et responsabilité claire pour les risques d'identité. De plus, lorsque les décisions sont fondées sur des données vérifiées et non sur des hypothèses, l'organisation peut prioriser les initiatives avec un rendement plus élevé de la réduction des risques.
Si l'intention est de passer des pratiques réactives à une position proactive, il convient d'évaluer les outils et les méthodes qui mettent en œuvre l'observation continue de l'identité et qui sont intégrés aux contrôles déjà déployés. Les fournisseurs et les solutions émergentes ont commencé à travailler explicitement dans cet espace en offrant des capacités de découverte directe dans les applications, l'analyse de comportement, l'orchestration des restaurations et la génération continue de preuves. Pour ceux qui veulent approfondir, l'approche d'Orchid Security est un exemple de proposition commerciale qui poursuit cette visibilité appliquée aux milieux d'affaires ( Sécurité des orchidées).
Il n'y a pas de solution magique qui élimine instantanément tous les risques, mais combiner les meilleures pratiques telles que l'utilisation de gestionnaires de secrets gérés et d'identité - comme recommandé par les fournisseurs de cloud tels que Microsoft et Google - avec l'observabilité et l'automatisation réduit significativement les fenêtres d'exposition. Microsoft documente les avantages des identités administrées pour supprimer les identifiants en relief en Azure, et Google Cloud publie des recommandations pour atténuer la croissance incontrôlée des comptes de services et de leurs mauvais traitements alors que les gestionnaires secrets aiment Gestionnaire secret Ils cherchent à centraliser la rotation et l'accès aux références.
En bref, la conclusion est pragmatique : à mesure que l'identité s'étend au code et aux services, les équipes de sécurité ont besoin d'outils et de processus qui non seulement modélisent les politiques, mais aussi observent et soutiennent la manière dont ces politiques sont mises en œuvre dans le monde réel. Convertir la « matière noire » en visibilité actionnable est maintenant l'un des sujets les plus importants pour protéger les environnements hybrides et indigènes dans le nuage.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...