Depuis plusieurs années, la cybersécurité répète une idée qui, en 2026, commence à ressembler à un vrai diagnostic : les attaquants ne “pénètrent” plus simplement, ils “se connectent”. Et si le point d’entrée se trouve dans l’identité, l’expansion des agents d’Intelligence Artificielle et des identités non humaines (INH) transforme ce problème en un défi d’une toute autre envergure. Dans ce contexte, CrowdStrike (NASDAQ : CRWD) a annoncé la signature d’un accord définitif pour acquérir SGNL, une entreprise spécialisée dans la Continuous Identity (identité continue), dans le but d’évoluer vers un contrôle des privilèges et des accès dynamique : accorder ou révoquer l’accès en temps réel en fonction du niveau de risque.
Selon Reuters, cette opération est valorisée à 740 millions de dollars et sera majoritairement financée en numéraire, avec une partie en actions soumise à des conditions de consolidation. La clôture est prévue pour le premier trimestre du cycle fiscal 2027 de CrowdStrike, sous réserve des approbations réglementaires habituelles.
Pourquoi l’identité est devenue le nouveau périmètre de l’ère agentique
Le message fondamental derrière cette annonce est clair : un agent d’IA agissant avec autonomie et rapidité “surhumaine” se comporte, en pratique, comme une identité privilégiée. Si l’on lui assignent des permissions permanentes — les classiques privileges permanents — le risque devient très élevé : une simple erreur de configuration, un jeton exposé ou une compromission de compte suffit pour ouvrir la porte aux données, applications, infrastructures cloud voire à d’autres agents.
CrowdStrike souligne que les modèles traditionnels de contrôle d’accès, basés sur des politiques statiques, ne sont pas capables de réévaluer le risque en cours de session ni de retirer des privilèges lorsque les conditions changent (par exemple, si l’appareil perd sa fiabilité ou si des indicateurs d’attaque apparaissent). La réflexion évolue alors : passer de “qui tu es” à “ce qui se passe en ce moment” et agir en conséquence.
Ce que apporte SGNL : la couche d’exécution qui décide en temps réel
Dans le communiqué, SGNL se définit comme une couche d’application d’enforcement de l’accès en temps d’exécution (runtime access enforcement) située entre les fournisseurs d’identité et les ressources accessibles en SaaS et dans des environnements cloud hyperévolutifs. Son principe repose sur une évaluation continue de signaux liés à l’identité, l’appareil et le comportement et, avec ces informations, accorder, refuser ou révoquer l’accès selon l’évolution des circonstances.
L’intégration avec CrowdStrike vise à ce que cette décision dynamique s’alimente des signaux de risque et de l’intelligence déjà intégrés dans la plateforme Falcon. En d’autres termes : non seulement détecter, mais également faire respecter l’accès “juste-à-temps” et retirer des privilèges lorsque le contexte devient incertain.
Parmi les capacités phares évoquées par CrowdStrike figurent :
- Supprimer les privilèges permanents pour les identités humaines, INH et agents d’IA, avec une autorisation dynamique basée sur le risque.
- Étendre l’accès Just-in-Time au-delà de Active Directory et Microsoft Entra ID vers des systèmes comme AWS IAM, Okta et autres environnements cloud d’identité et SaaS.
- Utiliser le Continuous Access Evaluation Protocol (CAEP) pour appliquer des révocations “en aval”, intégrées avec Falcon Fusion SOAR, afin de réduire les vulnérabilités liées à de mauvaises configurations.
- Unifier la sécurité de l’identité sur toute la chaîne de l’attaque, depuis l’accès initial jusqu’à l’élévation de privilèges et la mobilité latérale dans des environnements on-premise, SaaS et cloud.
L’opération elle-même ajoute une donnée importante concernant l’ampleur du phénomène. CrowdStrike cite un rapport de IDC : le marché de la sécurité de l’identité devrait passer d’environ 29 milliards de dollars en 2025 à 56 milliards en 2029, preuve que la bataille pour ce périmètre n’est pas marginale, mais stratégique.
La pièce manquante de la stratégie de CrowdStrike
CrowdStrike renforçait déjà son offre en matière d’identité. Reuters rappelle que la société est entrée sur ce marché en achetant Preempt Security en 2020, et que ses revenus récurrents liés à l’identité dépassaient 435 millions de dollars à la fin du deuxième trimestre du cycle fiscal 2026. Dans ce contexte, SGNL apparaît comme un accélérateur : permettre la prise de décision d’accès “au moment précis” et “en fonction du risque exact”, surtout dans les environnements où les identités se créent et se détruisent de façon dynamique (charges de travail, comptes de service, automatisations et agents).
Il existe également une dimension opérationnelle : CrowdStrike indique que l’ensemble de l’équipe de SGNL sera intégrée, sans projet de licenciements, et que son intégration à Falcon devrait être relativement simple pour les clients déjà utilisant leur écosystème, en cohérence avec leur stratégie “plateforme” qui domine le marché de la cybersécurité.
Ce que cela change pour les entreprises : du contrôle d’accès “de bureau” au contrôle d’accès “en mouvement”
Concrètement, cette opération confirme une tendance déjà en marche : gouverner les identités comme si elles étaient des sessions en direct, plutôt que des permissions statiques. Pour les responsables de la sécurité, le débat ne se limite plus à “quel rôle a cette compte” mais inclut désormais des questions telles que :
- Quels signaux issus de l’endpoint, du réseau ou du cloud confirment que cette session reste fiable ?
- Que faire si le risque augmente en cours de processus automatisé ?
- Comment gérer des identités non humaines, qui apparaissent par milliers dans des pipelines et environnements de données ?
- Comment révoquer l’accès dans des applications “en aval”, au-delà du fournisseur d’identité ?
La acquisition de SGNL indique que CrowdStrike souhaite prendre une place forte dans cette couche d’exécution, où l’identité n’est plus simplement un répertoire, mais un système nerveux qui décide en millisecondes si une action est légitime ou non.
Questions fréquentes (FAQ)
Qu’est-ce que “l’identité continue” et en quoi se distingue-t-elle du contrôle d’accès traditionnel ?
L’identité continue évalue en permanence le risque lié à une session (signaux utilisateur, appareil, comportement) et permet d’accorder ou de révoquer l’accès en temps réel, contrairement aux modèles traditionnels basés sur des permissions fixes et des revues ponctuelles.
Qu’est-ce que les identités non humaines (INH) et pourquoi sont-elles devenues critiques avec l’ère des agents d’Intelligence Artificielle ?
Ce sont des comptes de service, automatisations, charges de travail et agents qui fonctionnent sans intervention humaine. Dans les environnements cloud et SaaS, elles sont créées dynamiquement et disposent souvent de permissions étendues, en faisant des cibles privilégiées en cas de compromission.
Comment l’accès Just-in-Time contribue-t-il à réduire le risque lié aux crédentielles dérobées ?
Parce qu’il limite la fenêtre d’exploitation : la permission existe uniquement lorsqu’elle est nécessaire et disparaît après, ce qui réduit le risque d’utilisation de crédentielles compromises.
Quels éléments une entreprise doit-elle vérifier avant de déployer des contrôles d’accès dynamiques pour agents d’IA ?
Inventaire des INH et agents, réduction des privilèges permanents, définition des signaux de risque (endpoint, cloud, identité), et capacité à révoquer l’accès “en aval” dans les applications SaaS et services cloud.
Source : crowdstrike
