Pendant des années, l'identité a été considérée comme la pierre angulaire de la sécurité dans les entreprises : si le système pouvait vérifier qui entrait, on a supposé que l'accès pouvait être accordé sans autre réparation. Cette logique fonctionnait lorsque le personnel travaillait en équipe sur des réseaux contrôlés et des temps prévisibles. Aujourd'hui, cependant, le tableau a radicalement changé et la sécurité fondée sur l'identité est insuffisante compte tenu de la réalité de la main-d'œuvre moderne.
Le travail ne se produit plus en un seul endroit ou sur un seul appareil. Les personnes qui se connectent de la maison, cafés, ordinateurs portables d'entreprise, appareils personnels ou équipement tiers rendent le contexte de chaque connexion beaucoup plus variable. Une authentification réussie nous dit « qui » accède, mais elle ne nous informe pas de façon fiable sur « quel risque » cet accès implique..
Ceci est crucial : le même utilisateur qui se connecte d'une équipe patchée et gérée représente un risque très différent de celui qui se connecte d'un ordinateur sans mises à jour, sans contrôles de sécurité ou directement compromis. Cependant, de nombreux modèles d'accès continuent d'accorder des privilèges basés principalement sur l'identité et laissant l'état de l'appareil comme secondaire ou statique. Par conséquent, la confiance est maintenue même lorsque le point final aggrave votre profil de risque après la connexion.
Les agresseurs le savent et en profitent. Briser une authentification forte ou violer MFA est souvent plus cher que réutiliser des identifiants valides ou des jetons de session, ou exploiter des dispositifs non protégés. Le rapport d'incident de Verizon montre clairement la persistance du problème : les justificatifs volés sont impliqués dans un pourcentage très élevé des lacunes détectées ( Verizon DBIR). Cela souligne que le défi consiste non seulement à « détecter l'imposteur », mais aussi à « vérifier le contexte d'accès ».
De plus, il y a des routes d'accès qui ont été historiquement laissées à l'écart des politiques conditionnées modernes: les anciens protocoles, les outils d'accès à distance ou les flux non basés sur le navigateur reçoivent souvent moins de vérification contextuelle. Lorsque les signaux d'identité et d'extrémité sont traités en silos - différents outils qui ne partagent pas le contexte - la visibilité est fragmentée et les décisions sont incompatibles.
La communauté de la sécurité promeut depuis longtemps les principes de "Zero Trust" qui commencent à ne pas tenir pour acquis que quelque chose est sûr en appartenant à un réseau ou par authentification préalable. Des institutions comme le NIST documentent ces idées et comment elles doivent être appliquées dans les architectures modernes ( NIST SP 800-207) et les fournisseurs de plateformes publient des guides pour les mettre en œuvre ( Microsoft Zero Trust). Cependant, la véritable adoption tombe sur la complexité technique et les frictions que la sécurité peut introduire dans le travail quotidien.
Pour que Zero Trust travaille sur le lieu de travail, il ne suffit pas d'authentifier les utilisateurs : les conditions du paramètre et l'environnement doivent être vérifiées en permanence. L'état d'un appareil change souvent : configurations qui cessent d'être sécuritaires, commandes de sécurité désactivées, correctifs en attente. Si la vérification est immédiatement limitée depuis la connexion, la confiance reste car le risque de l'appareil peut augmenter beaucoup plus tard. C'est pourquoi les solutions qui étendent les décisions d'accès au-delà de l'identité et les maintiennent tout au long de la session sont de plus en plus communes.
Mettre en œuvre cette vérification continue ne signifie pas faire de la sécurité un obstacle. Au contraire, les meilleures approches visent à équilibrer protection et convivialité. Il s'agit de permettre des mesures correctives ciblées que l'utilisateur lui-même peut mettre en œuvre, des politiques qui mesurent la réponse en fonction du risque et des contrôles qui différencient entre les paramètres organisationnels, personnels ou tiers. Cela réduit la capacité des attaquants à tirer parti des titres de compétence valides de dispositifs peu fiables sans interrompre le travail légitime des individus.
Des données pratiques indiquent que lorsque l'identité et les contrôles des paramètres sont continuellement intégrés et évalués, la résilience s'améliore. Les organisations et les fournisseurs construisent des outils qui inspectent l'état de l'équipement en temps réel et qui peuvent limiter ou adapter l'accès sans réduire complètement la productivité. Par exemple, il existe des plates-formes qui permettent d'appliquer des restrictions basées sur la conformité des appareils, de fournir des étapes d'assainissement automatique et de maintenir la vérification tout au long de la session sur Windows, macOS, Linux et mobile.
Il est également important de comprendre pourquoi certains domaines demeurent plus vulnérables : les protocoles obsolètes ou les applications légalisées qui ne sont pas compatibles avec les contrôles avancés continuent de représenter des vecteurs accessibles pour les attaquants. De même, des techniques comme l'abus de jetons de session ou les campagnes de « fatigue MFA » ont montré que le maillon faible n'est pas toujours dans le mot de passe, mais dans la façon dont il est appliqué et maintenu la confiance. Des institutions comme la United States Infrastructure and Cybersecurity Agency (CISA) et des organisations de l'industrie formulent des recommandations pratiques pour atténuer ces risques et renforcer la défense contre les sessions et les abus d'authentification ( CISA).
Pour les entreprises, la question n'est plus de savoir s'ils doivent faire confiance à l'identité et comment exprimer cette confiance en temps réel avec les signaux de l'appareil et du contexte. Il existe des solutions commerciales qui intègrent les deux dimensions et proposent des politiques dynamiques adaptées aux conditions. Un exemple d'un fournisseur dans cet espace est Spacups, qui intègre des capacités de vérification continue et des contrôles d'état de point par des technologies telles que Infinipoint. Ces propositions visent à appliquer Zéro Confiance non seulement sur qui est authentique, mais aussi sur où et dans quelles conditions ( Gâteaux, Infini).
En tant que journaliste suivant l'évolution de la cybersécurité, je vois que l'agenda pour les années à venir est clair : les organisations doivent cesser de traiter l'identité comme une garantie absolue et commencer à concevoir des contrôles qui tiennent compte de la santé des paramètres et du contexte de l'accès sur une base continue. Cette transformation nécessite d'investir dans l'intégration des outils, de redéfinir les processus de soutien pour fournir des remèdes agiles et, surtout, d'informer les gens de la nécessité de ces changements. Une sécurité efficace n'est pas d'arrêter l'utilisateur légitime, mais de rendre l'accès légitime également sécurisé.
Si votre équipe repense la stratégie d'accès, il convient d'examiner les ressources de référence sur Zero Trust et la gestion de l'identité, de comparer les options techniques et de considérer les pilotes qui mesurent l'impact sur la sécurité et la productivité. Dans un environnement où la connexion est souvent plus facile que de forcer un écart, La question pertinente n'est plus « qui est-ce ? », mais « de quoi et avec quel niveau de confiance ? »
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...