Nous vivons à une époque où les identités numériques se développent à une vitesse telle que la capacité des entreprises à les gérer est mise à rude épreuve. Selon le dernier rapport de CyberArk, « Identity Security Landscape 2025 », ce phénomène entraîne des risques importants : 90 % des organisations ont déjà subi au moins une violation liée aux identités.
Ce n’est pas seulement une question de quantité. Le rapport indique que les identités de machine surpassent désormais en proportion celles des êtres humains, avec un ratio de 82 à 1. Avec l’émergence de l’intelligence artificielle autonome, capable d’effectuer des tâches complexes sans intervention humaine, la situation devient encore plus critique : ces agents autonomes généreront de plus en plus de nouvelles identités avec accès privilégié.
CyberArk déplore que la majorité des entreprises tardent à appliquer des contrôles d’accès dignes de ce nom, ce qui engendre une dette de sécurité coûteuse, lente à rembourser et évitable. Cette vulnérabilité n’est pas seulement technique, mais aussi organisationnelle. La séparation des responsabilités entre les responsables de la création de systèmes (CIO et CTO) et ceux de leur protection (CISO) entraîne des failles et des vulnérabilités systémiques.
Pour remédier à cela, CyberArk propose un concept innovant : « security at inception » ou « sécurité dès la conception ». L’idée est de sécuriser l’identité dès la création d’une ressource, plutôt que d’attendre qu’elle soit déployée. Ce modèle repose sur cinq principes clés : des privilèges temporaires et justifiés, le stockage sécurisé automatique des comptes à privilèges, la gestion centralisée des certificats, la validation du code sécurisé dès le pipeline de développement, et une automatisation complète via des infrastructures en tant que code.
Ce cadre permet une escalade de la sécurité conforme à la transformation digitale, tout en réduisant la surface d’attaque et en alignant la protection sur la vitesse des affaires. Avec la montée en puissance de l’IA agentive, qui peut provisioning des ressources, accéder à des données et générer des nouvelles identités de façon autonome, la nécessité d’adopter ces mesures devient cruciale. Selon James Creamer, directeur de CISO Advisory chez CyberArk : « La seule façon durable de protéger ces identités dans ce nouveau contexte est de les intégrer dès la conception. Nous ne pouvons pas continuer à réagir après coup, alors que l’IA et le cloud évoluent si rapidement ».
Pour les responsables de la sécurité, cela implique une transition culturelle et technique : passer d’une posture de réaction à une approche proactive de conception d’environnements sûrs par défaut, collaborer étroitement avec les équipes de développement et d’infrastructure, automatiser les politiques d’intégration des identités et des secrets, et mesurer le temps de protection dès leur création.
Le vrai changement proposé par CyberArk est philosophique : la sécurité ne doit plus être une étape, mais un attribut intrinsèque de toute architecture digitale. À l’image de la construction d’un bâtiment, on ne bâtit pas sans fondations solides. La standardisation des modèles Infrastructure as Code, l’intégration d’outils d’analyse de code, la gestion centralisée des certificats et accès, ainsi que la mise en place de politiques d’accès éphémère sont autant de recommandations pour adopter cette nouvelle philosophie.
L’avenir réside dans des identités invisibles mais contrôlées, souvent automatisées pour une transparence totale pour l’utilisateur final. La mise en œuvre de ces stratégies permettra aux développeurs d’accéder rapidement et en toute sécurité aux ressources et aux équipes de sécurité de disposer d’une meilleure visibilité et conformité. Comme le souligne Creamer : « En protégeant les identités dès leur création, nous pourrons anticiper les risques plutôt que de les poursuivre sans fin ».
Face à la montée de l’IA et de la cloud computing, il est urgent d’adopter un nouveau modèle de sécurité proactive et automatisée. Les identités constituent désormais le nouveau périmètre de sécurité ; leur protection dès le premier instant sera déterminante pour différencier les organisations résilientes des victimes potentielles.
Source : cyberark.
