Matière Sombre d'Identité : Définition, Risques et Stratégies de Visibilité Complète
Théophane Villedieu
Selon des données récentes, 27 % des violations cloud de 2024 ont impliqué l’exploitation de crédentiels dormants, soulignant l’ampleur d’un problème invisibilité.
Dans un écosystème numérique où les identités ne résident plus dans un seul répertoire, la matière sombre d’identité représente cette partie non gérée et non visible du périmètre de sécurité. Traditionnellement, les outils de gestion des identités et des accès (IAM) et de gouvernance (IGA) ne gouvernent que la moitié presque entièrement gérée de cet univers. Le reste, composé d’identités non humaines, d’applications shadow et de comptes orphelins, échappe au contrôle. Cet article explore les composantes de cette menace invisible, ses implications critiques pour la sécurité en 2025 et les méthodes pour la transformer en vérité actionable.
La fragmentation moderne de l’identité
L’identité a longtemps vécu dans un endroit prévisible : un annuaire LDAP, un système RH ou un portail IAM unique. Cette époque est révolue. Aujourd’hui, l’identité est fragmentée à travers SaaS, environnements on-premise, IaaS, PaaS, applications maison et applications d’ombre. Chacun de ces environnements transporte ses propres comptes, permissions et flux d’authentification.
Cette fragmentation crée une dichotomie critique entre ce qui est géré et ce qui ne l’est pas.
La dichotomie Géré vs. Non Géré
Les outils traditionnels gouvernent uniquement la moitié quasi gérée de cet univers : les utilisateurs et applications entièrement intégrés, mappés et onboardés. Tout le reste reste invisible : une masse d’identités non vérifiées, non humaines et non protégées.
- Le périmètre géré : Inclut les employés actifs sur le réseau d’entreprise, les applications critiques avec connecteurs IAM standards et les processus HR onboarding.
- Le périmètre non géré (Matière Sombre) : Comprend les applications qui ne justifient pas le coût de l’onboarding traditionnel, les identités non humaines (NHIs) et les comptes laissés pour compte lors de fusions ou de réorganisations.
Le coût de l’onboarding traditionnel
Chaque nouvelle application ou application modernisée exige un onboarding complexe : connecteurs, mappage de schéma, catalogues d’entitlements et modélisation de rôles. Ce travail consomme temps, argent et expertise. En conséquence, de nombreuses applications ne franchissent jamais cette étape. Le résultat est une fragmentation où des identités et des permissions non gérées opèrent en dehors de la gouvernance d’entreprise.
Les composantes de la matière somme d’identité
À mesure que les organisations modernisent, le paysage de l’identité se fragmente en plusieurs catégories à haut risque, formant la matière sombre d’identité.
Les applications shadow non gérées
Ce sont des applications qui opèrent en dehors de la gouvernance corporative. Contrairement aux applications malveillantes (Shadow IT), ces applications peuvent être approuvées pour le business mais non intégrées aux systèmes de sécurité pour des raisons de coût ou de complexité technique. Elles représentent une surface d’attaque non surveillée, comme le montrent les attaques ClickFix sur TikTok où les cybercriminels utilisent des vidéos pour propager des infostealers.
Les identités non humaines (NHIs)
Au-delà de la couche humaine se trouve un défi encore plus grand : les identités non humaines (NHIs). Les API, les bots, les comptes de service et les processus d’agents IA authentifient, communiquent et agissent à travers l’infrastructure. Souvent, ils sont intraçables, créés et oubliés sans propriété, supervision ou contrôles de cycle de vie, même pour les applications gérées.
Comptes orphelins et périmés
Les statistiques montrent l’ampleur de ce problème :
- 44 % des organisations déclarent posséder plus de 1 000 comptes orphelins.
- 26 % de tous les comptes sont considérés comme périmés (inutilisés depuis plus de 90 jours).
Ces comptes sont des cibles de choix pour les attaquants qui cherchent à élever leurs privilèges silencieusement.
Entités Agent-AI
Une menace émergente en 2025 concerne les agents autonomes IA. Ces entités effectuent des tâches et accordent des accès de manière indépendante, brisant les modèles d’identité traditionnels basés sur l’humain. Elles créent des chemins d’accès dynamiques qui ne sont pas prévisibles par les audits statiques.
Pourquoi la matière sombre d’identité est une crise de sécurité
La croissance de ces entités non gérées crée des “blind spots” majeurs où les risques cyber prospèrent. L’illusion de contrôle est dangereuse : si l’on ne peut pas voir une identité, on ne peut pas la sécuriser.
Le risque d’exploitation des crédentiels
L’abus de crédentiels reste la méthode d’attaque prédominante, notamment via des virus TikTok qui propagent des logiciels malveillants. Selon les rapports de sécurité récents, 22 % de toutes les violations sont attribuées à l’exploitation de crédentiels valides mais mal utilisés. La matière somdre alimente ce risque en permettant aux attaquants d’utiliser des comptes légitimes mais non surveillés pour se déplacer latéralement.
En 2024, 27 % des violations cloud ont impliqué la mauvaise utilisation de crédentiels dormants, incluant les comptes orphelins et locaux.
Lacunes de visibilité et “Illusion de contrôle”
Les entreprises ne peuvent pas évaluer ce qu’elles ne peuvent pas voir. Lorsque la majorité des identités (NHIs, shadow apps) échappent aux connecteurs IAM standards, les équipes de sécurité ont une vision incomplète du périmètre. Cela conduit à une fausse sécurité où l’on pense avoir couvert le périmètre alors que la majorité des flux de données transite par des canaux non surveillés.
Échecs de conformité et de réponse aux incidents
Les identités non gérées se situent hors du périmètre d’audit traditionnel. Lors d’une enquête de conformité (RGPD, ISO 27001), ces entités sont souvent omises, créant une non-conformité cachée. De plus, en cas d’incident, le temps de réponse est ralenti car les équipes doivent d’abord découvrir l’existence de ces identités avant de pouvoir neutraliser la menace.
Les risques cachés : L’impact sur l’entreprise
La matière sombre d’identité ne se limite pas à une simple faille technique ; elle impacte directement la résilience de l’entreprise.
“L’identité est le nouveau périmètre. Si vous ne contrôlez pas l’identité, vous ne contrôlez pas votre sécurité.” - Expert en cybersécurité.
Menaces internes et escalade de privilèges
Les comptes orphelins permettent une escalade de privilèges silencieuse. Un attaquant peut prendre le contrôle d’un compte inactif avec des privilèges élevés, souvent via des vecteurs comme les attaques ClickFix sur TikTok pour l’accès initial., passer inaperçu pendant des mois, et exfiltrer des données sans déclencher d’alertes basées sur l’anomalie comportementale, car le compte semble “légitime”.
Masquage des mouvements latéraux
Les identités non humaines, notamment les API et les bots, sont idéales pour le mouvement latéral. Elles communiquent de manière structurelle entre services. Si ces flux ne sont pas observés, un attaquant peut pivoter d’un serveur à l’autre en utilisant ces identités comme relais invisibles.
Impact financier et réputationnel
Le coût d’une violation dépasse largement le coût de l’onboarding d’une application. En 2025, les amendes pour non-conformité et la perte de confiance des clients constituent des risques existentiels. La gestion de la dette technique liée à l’identité sombre devient un impératif financier.
Résoudre le problème : De la configuration à l’observabilité
Pour éliminer la matière sombre d’identité, les organisations doivent passer d’une IAM basée sur la configuration à une gouvernance basée sur les preuves. Cela nécessite un changement de paradigme vers l’Observabilité d’Identité.
Le changement de paradigme : L’Observabilité d’Identité
L’Observabilité d’Identité ne se contente pas de gérer les identités ; elle permet de les voir en continu, indépendamment de leur emplacement. Selon les experts du secteur, l’avenir de la résilience cyber repose sur une approche à trois piliers :
- Voir Tout (See Everything) : Collecter la télémétrie directement depuis chaque application, pas seulement via les connecteurs IAM standards. Cela inclut les logs d’application, les flux réseau et les événements d’authentification.
- Prouver Tout (Prove Everything) : Construire des pistes d’audit unifiées qui montrent qui a accédé à quoi, quand et pourquoi. Ce n’est pas une affirmation, c’est une preuve.
- Gouverner Partout (Govern Everywhere) : Étendre les contrôles de sécurité aux identités gérées, non gérées et aux agents IA.
Les étapes vers une gouvernance basée sur les preuves
La mise en œuvre de cette stratégie demande une approche structurée pour transformer cette matière somdre en données actionnables.
- Inventaire et Cartographie : Utiliser des outils d’analyse passifs pour découvrir toutes les identités connectées au réseau, y compris les NHIs et les shadow apps.
- Analyse des Risques : Hiérarchiser les identités trouvées en fonction de leur privilège et de leur exposition.
- Application des Contrôles : Mettre en place des politiques de sécurité (MFA, rotation de clés) sur les entités découvertes.
- Surveillance Continue : Maintenir une boucle de rétroaction pour détecter la création de nouvelles identités non gérées.
Tableau comparatif : Approche Traditionnelle vs. Observabilité
| Critère | Approche Traditionnelle (IAM/IGA) | Approche Observabilité d’Identité |
|---|---|---|
| Périmètre | Identités gérées (HR, Connecteurs) | Toutes les identités (NHIs, Shadow, Agent-AI) |
| Visibilité | État statique (Configuration) | Flux temps réel (Télémétrie) |
| Preuve | Politiques affirmées | Audit unifié et vérifiable |
| Réactivité | Lente (Onboarding manuel) | Rapide (Découverte automatique) |
| Couverture | ~50% du périmètre | 100% du périmètre |
Mini-cas : La modernisation d’une PME française
Prenons l’exemple d’une PME du secteur de la logistique basée à Lyon. En 2024, elle a migré vers une architecture hybride avec plusieurs applications SaaS (CRM, gestion de stock) et une application maison pour la gestion des colis.
- Problème : L’équipe IT, réduite, n’a pas intégré l’application maison dans leur solution IGA existante. Des comptes de service y ont été créés pour synchroniser les données avec le CRM. En 2025, un audit de sécurité a révélé que ces comptes de service n’avaient jamais de mot de passe expiré et possédaient des droits d’administrateur sur la base de données.
- Solution : En déployant une solution d’observabilité, ils ont découvert ces identités “fantômes” et réduit leurs privilèges en quelques jours, évitant une potentielle violation massive.
Encadré : Les 3 piliers de la visibilité totale
Pour réussir la transition vers l’observabilité, voici les éléments techniques à prioriser :
- Télémétrie Native : Ne pas dépendre uniquement des API de connecteurs. Utiliser des agents ou des logs streamers au niveau des applications elles-mêmes.
- Corrélation d’Identité : Unifier les logs provenant de sources hétérogènes (AWS, Azure, Apps on-prem) pour créer une vue unique.
- Orchestration des Actions : L’observabilité doit déclencher des actions (ex: désactiver un compte orphelin détecté) sans intervention manuelle.
Conclusion : Transformer l’invisible en force défensive
La matière sombre d’identité n’est pas une fatalité. Elle est le symptôme d’une croissance technologique non maîtrisée. En passant d’une gouvernance basée sur la configuration (qui ne voit que ce qu’on lui dit de voir) à une gouvernance basée sur les preuves (qui voit tout ce qui se passe réellement), les organisations peuvent combler ces lacunes critiques.
L’objectif n’est plus seulement d’empêcher l’accès non autorisé, mais de prouver qui a accédé à quoi et pourquoi, même pour les identités les plus obscures. Pour les responsables sécurité en 2025, la priorité est claire : étendre la visibilité au-delà du périmètre traditionnel pour sécuriser l’intégralité de l’univers de l’identité.