La sécurité des identités demeure depuis des années le « point unique de défaillance » le plus préoccupant dans la cybersécurité moderne : plus une organisation automatise ses processus, plus les identifiants, comptes de service, tokens et agents se multiplient… rendant difficile la détermination de qui (ou quoi) peut effectuer quelles actions, quand et d’où. Dans ce contexte, Delinea a annoncé un accord définitif pour acquérir StrongDM, avec une ambition claire : combiner le Gestion des Accès Privilégiés (GAP) traditionnel avec un modèle d’autorisation en temps réel et « juste-à-temps » conçu pour des environnements continus, cloud-native, et de plus en plus peuplés d’identités non humaines et d’agents IA.
Un marché propulsé par la montée en puissance des identités non humaines
Ce mouvement n’est pas seulement technologique ; il a aussi une forte composante statistique. Des rapports récents indiquent que les identités non humaines (NHIs) — comptes de service, intégrations, automatisations, identités machine et, de plus en plus, agents IA — dépassent largement le nombre d’utilisateurs humains, avec des ratios rapportés d’environ 82 à 1 dans certains environnements d’entreprise.
Ce déséquilibre bouleverse les règles du jeu : un robot ou un agent ne se fatigue pas, ne commet pas d’erreurs humaines classiques, mais peut fonctionner 24 heures sur 24, escalader des actions à une vitesse machine et, s’il est mal gouverné, augmenter considérablement le risque. La pression croissante pousse donc vers des modèles plus granulaires, capables d’autoriser chaque action précisément au moment opportun, plutôt que de s’appuyer uniquement sur des contrôles basés sur des « sessions » ou des « rôles statiques ».
Ce qui est acheté concrètement : une plateforme combinant PAM et autorisation en « runtime »
Selon l’annonce, cette acquisition vise à construire une plateforme intégrée qui inclut :
- GAP d’entreprise (le domaine traditionnel de Delinea : gestion des identifiants privilégiés, coffres-forts, rotation, audit, etc.).
- Autorisation « runtime » en mode juste-à-temps (JIT) (la spécialité de StrongDM : permettre l’accès à l’infrastructure et aux données avec une approche orientée ingénierie/DevOps, et appliquer des politiques au moment de l’utilisation).
Delinea présente cette évolution comme un passage vers un modèle de Zero Standing Privilege (ZSP) : réduire ou supprimer les privilèges permanents, en les remplaçant par des permissions éphémères et traçables. Ce concept, de plus en plus mentionné dans l’industrie, vise à minimiser la surface d’attaque : en n’ayant pas de crédentiels privilégiés « toujours valides », la possibilité de vol, de réutilisation ou d’abus diminue significativement.
Pourquoi maintenant : du « simple » accès à la « gouvernance de l’action »
L’annonce insiste sur un changement de paradigme : il ne suffit plus simplement de « donner accès » à une ressource ; il faut désormais gouverner le privilège au moment de l’action. En pratique, cela implique :
- Des politiques centralisées qui déterminent si une identité (humaine, machine ou agent) peut exécuter une opération privilégiée spécifique.
- Une capacité à appliquer le principe du moindre privilège de façon dynamique, en fonction du contexte (environnement, niveau de risque, horaire, dispositif, posture de sécurité, etc.).
- Une auditabilité et traçabilité « à chaque opération », et pas uniquement par session.
Selon des propos attribués à la direction de Delinea, le vol ou la perte de crédentiels constitue encore un vecteur dominant d’incidents, et l’industrie pousse à recentrer la sécurité des identités au cœur du dispositif de défense.
Objectifs et calendrier : opération prévue pour le premier trimestre 2026
Delinea confirme que l’accord est signé et que la clôture est espérée au premier trimestre 2026, sous réserve des conditions habituelles, notamment l’accord réglementaire. Les termes financiers n’ont pas été rendus publics.
Résumé : de la gestion PAM traditionnelle à ZSP avec autorisation en temps réel
| Approche | Ce qu’elle résout | Avantage principal | Risque en cas de mauvaise implémentation | Idéal pour |
|---|---|---|---|---|
| PAM classique (avec identifiants persistants contrôlés) | Centralise et sécurise les comptes privilégiés | Audit complet et contrôle éprouvé | Privilèges « permanents » encore présents (même en coffre) | TI traditionnel, environnements réglementés, administration système |
| JIT (accès à la demande) | Fournit des privilèges uniquement si nécessaire | Réduit la fenêtre d’exposition | Complexité opérationnelle si automatisation insuffisante | Interventions ponctuelles, support, équipes distantes |
| Autorisation en « runtime » (action par action) | Décide et enregistre en temps réel | Contrôle granulaire et contextuel | Politiques mal conçues pouvant bloquer des opérations essentielles | |
| ZSP (zéro privilège permanent) | Supprime les privilèges « toujours actifs » | Minimise la surface d’attaque | Nécessite une discipline stricte et une bonne visibilité |
Analyse stratégique : consolidation en « sécurité d’identité » pour l’ère IA agentique
Ce mouvement s’inscrit dans une tendance globale : la sécurité des identités évolue d’un simple IAM/PAM « classique » vers une Sécurité d’Identité (Identity Security) comme couche transversal de contrôle, notamment face à l’essor des agents et automatisations. Par ailleurs, analystes et professionnels soulignent depuis un certain temps que l’approche JIT et l’élimination des privilèges permanents sont des stratégies pragmatiques pour réduire les risques tout en maintenant l’efficacité opérationnelle.
En somme : si l’avenir proche inclut la gestion d’agents IA réalisant des actions concrètes (et pas seulement des recommandations), le contrôle crucial ne sera plus « qui a connecté » mais quelles actions privilégiées ont été autorisées, selon quelles politiques.
Foire aux questions
Quel problème précis vise à résoudre l’acquisition de StrongDM par Delinea ?
Fusionner le PAM avec l’autorisation JIT en temps réel, afin de réduire la dépendance aux crédentiels privilégiés permanents et d’assurer un contrôle plus granulaire des actions avec auditabilité renforcée.
Qu’est-ce que le Zero Standing Privilege (ZSP) et pourquoi en parle-t-on autant ?
C’est une approche qui vise à éliminer les privilèges permanents : l’accès est accordé de manière temporaire, à la demande, selon des politiques contextuelles, diminuant la fenêtre États pour une éventuelle attaque en cas de vol de crédentiels.
Pourquoi la sécurité des identités devient-elle plus compliquée avec l’introduction d’IA agents ?
Parce qu’elle multiplie le nombre d’identités non humaines et automatise leurs actions ; plusieurs rapports alertent déjà sur des ratios très élevés de NHIs par rapport aux humains, ce qui augmente directemet le risque global.
Quand l’acquisition devrait-elle être finalisée ?
La société indique que la clôture est prévue pour le premier trimestre 2026, sous réserve des conditions réglementaires et autres formalités habituelles.
Source : delinea
