Les entreprises ont construit des réseaux d'identité de plus en plus complexes, mais la gouvernance n'a pas suivi le même rythme. À mesure que les organisations et les équipes grandissent, l'identité est dispersée parmi des milliers d'applications, de comptes locaux, de services automatisés et d'agents d'IV agissant seuls. Le résultat est une couche invisible que de nombreux experts appellent déjà "question d'identité noire": activité et permis qui existent en dehors du champ d'application des systèmes centraux de gestion de l'identité et, par conséquent, hors de la vue des équipes de sécurité.
Une analyse récente d'Orchid Security indique qu'environ la moitié de l'activité liée à l'identité des entreprises se produit là où les contrôles centralisés ne le surveillent pas. Cette déclaration - qui peut être consultée dans les travaux publics de l'entreprise - révèle quelque chose de fondamental: si nous ne voyons pas où un accès est accordé ou utilisé, nous ne pouvons pas le protéger ou le vérifier correctement. Ce problème n'est pas seulement technique, c'est aussi organisationnel : outils déconnectés, responsabilités fragmentées et applications créées par des équipes indépendantes alimentent cette invisibilité.
Gartner a mis le défi dans un contexte plus large en proposant l'idée de "Identity Visibility and Intelligence Platform" (IPP) dans le cadre de Identity Fabric. Selon ce point de vue, une couche de surveillance indépendante est nécessaire pour capter et comprendre les signaux d'identité au-dessus des systèmes traditionnels d'accès et de gouvernance. En d'autres termes, la solution ne peut se limiter à un autre dépôt d'identité; elle doit devenir un moteur d'intelligence qui découvre, unifie et analyse l'activité réelle des humains et des machines. Plus d'informations sur le cadre du tissu d'identité se trouvent dans la ressource de Gartner: Gartner - Tissu d'identité.
Qu'est-ce qu'une plateforme avec de telles caractéristiques signifierait ? D'abord, la capacité de découvrir continuellement les identités présentes dans le paysage technologique : des répertoires d'entreprise aux applications personnalisées, des systèmes IA légés et copiés qui fonctionnent avec leurs propres références. Deuxièmement, cette plate-forme devrait servir de couche de données d'identité consolidée qui unifie les enregistrements, la télémétrie et les flux d'autorisation afin de fournir un « compte » unique sur la façon dont l'accès est utilisé. Et troisièmement, il transforme ces données en intelligence actionnable à l'aide d'analyses et de modèles avancés qui distinguent le comportement légitime de l'activité suspecte.
Plusieurs des défis pratiques apparaissent lorsque les applications n'exposent pas les API standard ou lorsque leur logique d'authentification est opaque. Certaines propositions technologiques actuelles utilisent des instruments dynamiques et des analyses binaires pour inspecter le fonctionnement interne des applications sans demander de réécriture de code ou d'intégrations longues. Cette approche vous permet de découvrir des comptes locaux, des itinéraires d'authentification sans papiers et des identifiants de machine qui autrement resteraient cachés. Lorsque la dimension réelle du parc d'application n'est pas connue, il n'est pas possible de mesurer ou d'atténuer le risque qu'il comporte.
La liaison de la télémétrie spécifique aux applications avec le journal des systèmes localisés crée une couche de preuves qui modifie la façon dont le risque est évalué : au lieu de se baser sur les configurations déclarées, les décisions sont basées sur le comportement observé. Les rapports analysant les environnements au niveau de l'application montrent des tendances inquiétantes: de nombreuses applications gardent des comptes liés à de vieux domaines ou même des postes de consommateurs, une proportion élevée a des privilèges excessifs et un volume important de comptes finit par être abandonné au fil du temps. Ces constatations illustrent que le risque réel est souvent caché derrière des hypothèses de gouvernance incomplètes.
Le problème est compliqué par l'arrivée d'agents autonomes de l'IV. Ces acteurs numériques peuvent avoir des identités et des permissions indépendantes et, s'ils ne sont pas intégrés dans les politiques gouvernementales, devenir une autre source de « matière noire ». L'adaptation du modèle de visibilité et de renseignement à ces agents nécessite des règles claires d'attribution humaine, des dossiers d'activités complets, des contrôles contextuels qui évaluent l'accès en fonction de la sensibilité des ressources et des mécanismes de privilège minimum qui favorisent l'accès juste à temps. Tout cela doit être accompagné de capacités d'assainissement automatiques pour raccourcir la fenêtre d'exposition.
D'un point de vue opérationnel, l'adoption d'une telle plate-forme transforme également la façon dont le succès est mesuré. En plus de compter les permis ou les contrôles déployés, les agents de sécurité doivent mesurer les résultats : par exemple, la réduction réelle des permis inactifs ou le délai moyen pour révoquer l'accès critique après le départ d'un employé. L'officialisation des accords de protection avec l'entreprise - services ayant des objectifs de sécurité précis - contribue à aligner les priorités et à traduire les contrôles techniques en avantages tangibles.
La recommandation pratique à l'intention des équipes qui veulent combler ces lacunes n'est pas complexe, mais exigeante dans la mise en œuvre. Il faut briser les cloisonnements entre les opérations, les propriétaires d'applications, l'équipement IAM et la gouvernance; hiérarchiser l'analyse des risques quantifiée (avec une attention particulière à l'identité des machines); automatiser les corrections simples qui ferment les déviations de position dès qu'elles sont détectées; et utiliser la visibilité unifiée comme actif critique à des moments à risque élevé, comme l'intégration après une acquisition. Bref, il s'agit de convertir l'observabilité continue en un moyen de réduire la surface de l'attaque et d'accélérer les audits et la conformité.
La conclusion est claire: la visibilité ne sera plus un luxe pour devenir la couche de contrôle essentielle. Toujours garder la "porte principale" fermée non plus si derrière le bâtiment il y a des passages non vérifiés et des clés. Les organisations qui peuvent voir, comprendre et agir sur la question sombre de l'identité auront un énorme avantage sur les attaquants; celles qui ne le font pas, continueront à faire face à des lacunes inattendues qui émergent précisément là où les contrôles ne regardent pas.
Pour ceux qui veulent approfondir les guides et les cadres de référence utiles pour la conception de ces capacités, il est conseillé d'examiner les documents de référence sur la gestion de l'identité et la confiance zéro comme le NIST ( NIST SP 800-63), ressources sur des modèles de confiance zéro CISA et l'analyse de la gestion de l'identité des fournisseurs spécialisés dans les identités des machines, Venafi. Pour comprendre la proposition de l'IPP dans le contexte du tissu d'identité, l'explication de Gartner peut servir de cadre conceptuel : Gartner - Tissu d'identité. Enfin, afin de suivre les travaux et les audits qui identifient la "matière noire" dans les applications, la documentation technique et les études publiées par les entreprises qui développent ces solutions, par exemple dans les ressources de Sécurité des orchidées.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...