Les assureurs et les régulateurs tournent les yeux vers ce que nous pourrions appeler la « position d'identité » des entreprises : comment ils gèrent les mots de passe, les comptes privilégiés et les mécanismes d'authentification. Ce n'est pas une surprise: selon la IBM Threat Intelligence Index 2025, une intrusion sur trois passe par des comptes d'employés engagés. Cela a fait de la gestion de l'identité un facteur clé dans l'évaluation du cyberrisque et la fixation des primes d'assurance.
Le contexte économique n'aide pas à se détendre. Le coût moyen global d'une fuite de données reste très élevé - IBM place ce chiffre à environ 4,4 millions de dollars d'ici 2025 - et de nombreuses organisations recherchent des politiques pour transférer une partie de ce risque ( IBM Coût d'un rapport de rupture de données). Dans des pays comme le Royaume-Uni, l'accès à la couverture a augmenté au cours des dernières années, mais en même temps les compagnies d'assurances resserrent les exigences: là où les contrôles de base étaient suffisants pour montrer d'abord, des preuves de pratiques continues et efficaces sont maintenant requises ( Enquête sur les infractions à la cybersécurité 2025).
Pourquoi l'identité pèse-t-elle autant sur l'abonnement aux politiques? La réponse est simple et technique en même temps : les attaques les plus efficaces commencent par l'obtention de références valides. À partir de ce point de soutien, un attaquant peut grimper les privilèges, se déplacer latéralement et, si les défenses sont faibles, maintenir la persistance. Pour un assureur, une bonne gouvernance de l'identité réduit la probabilité qu'un accès initial unique déclenche une catastrophe qui se solde par une réclamation millionnaire.
Lorsque les évaluateurs examinent une organisation, ils s'intéressent à des questions pratiques et mesurables. L'hygiène du mot de passe demeure pertinente car, malgré l'augmentation du MFA et des initiatives sans mot de passe, de nombreuses authentifications dépendent encore d'accréditations. Le problème apparaît lorsqu'il y a réutilisation des mots de passe dans les comptes critiques, les anciens protocoles qui permettent le vol d'identifications plus facilement, les comptes inactifs qui conservent des comptes d'accès ou de service avec des mots de passe qui n'expirent jamais. L'utilisation partagée des titres de compétence administratifs est également préoccupante : elle rend la traçabilité difficile et multiplie l'impact d'un titre volé.
Un autre domaine critique est la gestion des privilèges. Les comptes à haut débit, qu'il s'agisse d'administrateurs de domaine, d'administrateurs de cloud ou de comptes de services dotés de privilèges, sont souvent suraffectés et ne relèvent pas du contrôle central. Si un attaquant peut transformer un compte normal en administrateur à faible mouvement, le risque est déclenché et les primes le refléteront. C'est pourquoi les abonnés examinent la composition des groupes administratifs, l'existence de privilèges qui se chevauchent et la couverture d'enregistrement et de surveillance dans ces comptes. Dans les environnements avec Active Directory et les services cloud, les outils qui détectent les comptes inactifs ou les rôles surattribués aident à démontrer que l'organisation contrôle son périmètre de privilèges; Microsoft offre par exemple des guides pour moderniser l'authentification et réduire la dépendance à l'égard des protocoles hérités ( Microsoft: désactiver l'authentification du passé).
La couverture et l'application efficaces du MFA (authentification multifactorielle) sont devenues une exigence récurrente. Il ne suffit pas de déclarer que MFA a été déployé: les compagnies d'assurances cherchent des preuves d'application consistant en l'accès à distance, courrier électronique, administrateurs et itinéraires critiques. Les exceptions, les comptes non interactifs ou les anciens protocoles qui évitent le second facteur créent des raccourcis que les attaquants exploitent après avoir obtenu des pouvoirs initiaux. À ce stade, l'orientation technique américaine est instructive: NIST SP 800-63B il contient des recommandations sur l'authentification moderne que de nombreuses évaluations des risques utilisent comme référence.
L'amélioration de la position d'identité n'est pas une tâche d'effets immédiats ou d'activation d'un interrupteur; c'est un processus de maturité. Bonne nouvelle : les assureurs apprécient souvent les progrès documentés à la fois ou plus qu'une configuration parfaite dès le premier jour. Commencez à mesurer, à auditionner et à corriger régulièrement les intentions et réduit la probabilité de surprises. Les outils d'audit des plateformes Active Directory et Cloud permettent de quantifier l'exposition aux mots de passe, d'identifier les comptes privilégiés oubliés et de démontrer que des politiques d'authentification robustes sont appliquées.
Supprimer les mots de passe faibles et partager les identifiants C'est une priorité opérationnelle. Adopter des normes minimales, éviter la réutilisation dans les comptes critiques et forcer des rotations raisonnables réduit la surface que les attaquants peuvent utiliser après une fuite. En même temps, la documentation et la vérification permettent de prouver que les assureurs cherchent.
Appliquer le MFA à tous les points critiques ne devrait plus être une recommandation et devenir une norme: accès à distance, gestion du cloud, courrier d'entreprise et toute interface exposée qui permet le contrôle des données ou l'exfiltration. Il ne s'agit pas seulement de déployer le MFA, mais de s'assurer qu'il couvre toutes les routes pertinentes et que les exceptions sont justifiées et contrôlées.
Réduire l'accès privilégié permanent par des modèles juste à temps ou des accès temporaires limite la fenêtre dans laquelle un titre compromis peut nuire. Moins de comptes toujours actifs avec un maximum de permis signifie moins de risque systémique et donc des arguments pour négocier des conditions d'assurance plus favorables.
Examiner et certifier régulièrement les autorisations est le moyen le plus direct de trouver des comptes orphelins, des droits obsolètes ou des membres de groupes administratifs qui ne devraient pas les avoir. Les audits d'accès courants, avec des preuves de corrections, sont une monnaie dans les processus de souscription.
Pour démontrer ce travail aux assureurs et aux vérificateurs, il convient de s'appuyer sur des normes et des outils qui génèrent des mesures et des traces. Agences et projets tels que OWASP ont documenté comment des attaques fondées sur les pouvoirs se produisent à grande échelle, et des guides tels que NISTES ou les recommandations des fabricants aident à concevoir une stratégie cohérente. Il existe également des solutions commerciales qui offrent une visibilité sur l'exposition par mot de passe dans Active Directory et aident à prioriser les mesures correctives, par exemple, Specops Password Auditor est l'un des outils utilisés dans les environnements Windows à cette fin.
En fin de compte, le message que les marchés d'assurance envoient est clair: la gestion de l'identité n'est plus une question purement opérationnelle pour devenir un critère fondamental de risque financier. Les organisations qui souhaitent de meilleures conditions d'assurance devraient combiner les contrôles techniques avec des processus d'examen continu et la capacité de démontrer ces progrès. Ce n'est pas une mode : c'est une adaptation à la façon dont les adversaires attaquent aujourd'hui et à la façon dont le risque est valorisé par ceux qui prennent la responsabilité financière quand quelque chose tourne mal.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...