Identity Dark Matter : Comprendre et maîtriser la moitié invisible de votre surface d'attaque
Apollinaire Monteclair
En 2024, près de 27 % des violations cloud ont impliqué la mauvaise utilisation de credentials inactifs, un chiffre qui révèle une faille majeure dans la sécurité des entreprises : l’absence de visibilité sur leurs identités numériques.
L’identité numérique a cessé d’être un simple annuaire LDAP ou un système RH. Elle est aujourd’hui fragmentée entre SaaS, environnements locaux, IaaS, PaaS et applications internes. Chaque environnement génère ses propres comptes, permissions et flux d’authentification. Les outils traditionnels de gestion des identités et des accès (IAM) ou de gouvernance (IGA) ne gouvernent que la partie émergée de l’iceberg : les utilisateurs et applications intégrés et cartographiés. Tout le reste demeure invisible. Ce résidu non géré constitue ce que les experts nomment l’identity dark matter (matière noire d’identité). Ce guide détaille ce phénomène, ses risques et les stratégies pour y remédier.
La fragmentation de l’identité : naissance de la matière noire
L’identity dark matter désigne l’ensemble des identités et des accès qui échappent aux processus de gouvernance classiques. Chaque nouvelle application ou modernisation nécessite un onboarding complexe : connecteurs, mappage de schéma, catalogue d’entités et modélisation des rôles. Ce travail consomme temps et argent. Résultat : de nombreuses applications ne sont jamais intégrées. L’entreprise perd alors la maîtrise des accès qui s’y rapportent.
Au-delà du niveau humain se dresse un défi encore plus vaste : les identités non humaines (NHIs). API, bots, comptes de service et agents IA authentifient, communiquent et agissent à travers l’infrastructure. Ils sont souvent introuvables, créés puis oubliés sans propriétaire ni supervision. Ces entités constituent la couche la plus invisible de la matière noire, un univers que les outils IAM traditionnels n’ont jamais été conçus pour gérer.
Les quatre composantes à risque
Les organisations modernes font face à plusieurs catégories d’entités non gérées :
- Applications fantômes (Shadow Apps) : Logiciels opérant hors de la gouvernance corporative pour éviter les coûts d’intégration, exposant à des arnaques par email et pages web.
- Identités non humaines (NHIs) : API, bots et comptes de service sans supervision.
- Comptes orphelins et obsolètes : Selon les statistiques récentes, 44 % des organisations déclarent posséder plus de 1 000 comptes orphelins et 26 % de l’ensemble des comptes sont considérés comme obsolètes (inutilisés depuis plus de 90 jours).
- Entités IA agentiques : Agents autonomes qui effectuent des tâches et accordent des accès de manière indépendante, brisant les modèles d’identité classiques.
Pourquoi l’identity dark matter est une crise de sécurité
La croissance de ces entités non gérées crée des “zones d’ombre” où les risques prospèrent. L’illusion de contrôle est dangereuse : l’entreprise pense maîtriser ses accès, mais des pans entiers de son infrastructure lui échappent.
Les risques principaux
- Abus de credentials : 22 % de toutes les violations sont attribuées à l’exploitation de credentials. Ces chiffres montrent que la compromission d’un compte inactif ou d’une API oubliée suffit à ouvrir la porte à l’attaquant, notamment via des techniques comme les faux écrans de panique BSOD qui déclenchent des malware.
- Déficits de visibilité : Impossible d’évaluer ce que l’on ne voit pas. Les outils de scan de vulnérabilité passent à côté des accès non cartographiés.
- Échecs de conformité et de réponse : Les identités non gérées sortent des périmètres d’audit et ralentissent la réponse aux incidents. En cas de crise, les équipes de sécurité ne savent pas qui a accès à quoi, comme le démontre la cyberattaque Covenant Health.
- Menaces cachées : La matière noire masque la progression latérale, les menaces internes et les escalades de privilèges.
L’absence de gouvernance sur les identités non humaines est le talon d’Achille de nombreuses architectures cloud modernes.
De la configuration à l’observabilité : la nouvelle approche
Pour éliminer l’identity dark matter, il faut abandonner la gouvernance basée sur la configuration pure pour adopter une gouvernance fondée sur des preuves. Cela passe par l’Observabilité des Identités, qui offre une visibilité continue sur chaque identité, quelle que soit sa nature.
Les trois piliers de la résilience cyber
Selon les référentiels de sécurité actuels, une approche efficace repose sur trois piliers :
- Tout voir : Collecter la télémétrie directement depuis chaque application, sans se limiter aux connecteurs IAM standards.
- Tout prouver : Construire des pistes d’audit unifiées qui démontrent qui a accédé à quoi, quand et pourquoi.
- Tout gouverner : Étendre les contrôles aux identités gérées, non gérées et agentiques.
En unifiant télémétrie, audit et orchestration, l’entreprise transforme la matière noire en vérité actionnable.
Les risques cachés des entités non humaines
Les NHIs (Non-Human Identities) représentent la face cachée de l’iceberg. Contrairement aux comptes utilisateurs, ils ne sont pas liés à un cycle de vie RH. Un compte de service créé pour un script temporaire peut rester actif des années, avec des privilèges élevés.
Dans le contexte des agents IA, le risque s’accroît. Un agent autonome peut créer dynamiquement des sous-comptes pour exécuter des tâches. Si l’agent est compromis, l’attaquant hérite de sa capacité à créer des accès. C’est une rupture du modèle de confiance Zero Trust classique.
Tableau comparatif : Gouvernance classique vs Observabilité
| Critère | Gouvernance Classique (IAM/IGA) | Observabilité des Identités |
|---|---|---|
| Périmètre | Applications intégrées uniquement | Tous les environnements (SaaS, Locals, Cloud) |
| Source de données | Connecteurs pré-établis | Télémétrie directe (API, logs, agents) |
| Types d’identités | Utilisateurs humains | Humains + NHIs + Agents |
| Visibilité | Discontinue (snapshot) | Continue (temps réel) |
| Réponse aux incidents | Lente (recherche manuelle) | Rapide (audit unifié) |
| Conformité | Complexe pour les apps fantômes | Périmètre d’audit élargi |
Mise en œuvre : Étapes pour maîtriser votre matière noire
La transition vers une gouvernance prouvée ne se fait pas du jour au lendemain. Voici une feuille de route actionnable.
- Cartographier l’inconnu : Lancez un audit ciblé pour identifier les applications non gérées et les comptes orphelins. Utilisez la découverte automatique pour repérer les API exposées.
- Instaurer la télémétrie : Déployez des mécanismes de collecte de logs natifs sur vos environnements cloud et SaaS. Ne vous fiez pas uniquement aux agents externes.
- Prioriser les risques : Focalisez-vous d’abord sur les comptes avec des privilèges d’administrateur inutilisés depuis plus de 90 jours (le seuil critique des statistiques actuelles).
- Orchestrer le cycle de vie : Automatisez la création et la révocation des accès, y compris pour les NHIs. L’intégration avec les outils de gestion des secrets est cruciale.
- Prouver la conformité : Générez des rapports d’audit unifiés montrant la couverture de vos identités (humaines et non humaines).
La sécurité de demain ne se contente plus de configurer des accès ; elle doit prouver en permanence leur légitimité.
Conclusion : Vers une gouvernance prouvée
L’identity dark matter n’est pas une fatalité technologique, mais le résultat d’une architecture identitaire vieillissante face à la complexité moderne. En ignorant ces identités fantômes, les entreprises laissent des adversaires opérer dans l’ombre de leurs propres systèmes.
La solution réside dans le passage d’une gestion statique à une observabilité dynamique. En “voyant” comment l’identité est codée, utilisée et se comporte, vous transformez l’inconnu en vérité actionnable. Pour les responsables sécurité en France, l’enjeu est clair : auditer et gouverner la totalité de la surface d’identité, ou subir les conséquences des zones d’ombre.
Quelle est votre stratégie pour auditer vos identités non humaines cette année ?