La prolifération des permissions et des identités non humaines élargit la surface d’attaque identitaire

Source : Sinisa Markovic, Help Net Security
Date : 30 décembre 2025
Lien : https://www.helpnetsecurity.com/2025/12/30/identity-security-permissions-sprawl/

Help Net Security relaie une analyse de Veza indiquant que la surface d’attaque identitaire des entreprises s’étend rapidement et devient difficile à maîtriser, notamment sous l’effet des identités non humaines et de la croissance des permissions.

📈 Veza observe que les permissions augmentent plus vite que les capacités de suivi des équipes. Les entreprises opèrent souvent avec des centaines de millions d’habilitations actives, et Veza a mesuré plus de 230 milliards de permissions dans son jeu de données.

Contexte général

Le dernier rapport de Veza met en lumière une dérive majeure de la sécurité des identités : la croissance des permissions et des identités dépasse largement la capacité des organisations à les gouverner. Avec des centaines de millions d’identités et des centaines de milliards de permissions actives, les entreprises accumulent une dette invisible mais critique, qualifiée d’identity debt.

Une explosion incontrôlée des permissions

Veza a mesuré plus de 230 milliards de permissions dans son jeu de données.
Les grandes entreprises opèrent couramment avec des centaines de millions d’habilitations actives.
Les équipes sécurité doivent gérer simultanément :
- demandes d’accès,
- audits,
- incidents,
- tout en absorbant l’arrivée continue de nouvelles permissions via le cloud, le SaaS et l’automatisation.
Résultat : les accès inutilisés, excessifs ou obsolètes s’accumulent silencieusement.

« À l’échelle de milliards de permissions, la difficulté d’appliquer le moindre privilège devient évidente », souligne Rich Dandliker, Head of Strategy chez Veza.

Comptes dormants et orphelins : un risque structurel

3,8 millions de comptes dormants identifiés (38 % des utilisateurs des fournisseurs d’identité), sans activité depuis au moins 90 jours mais toujours actifs.
824 000 comptes orphelins (8 %) sans propriétaire identifié dans les systèmes RH.
Forte accélération :
- comptes dormants : +100 % sur un an,
- comptes orphelins : +40 %.
Chaque compte résiduel augmente la surface d’attaque exploitable.

Des identités humaines massivement sur-autorisées

Un employé moyen dispose de 96 000 permissions réparties sur applications, données et infrastructures.
78 000 anciens employés conservent encore des accès actifs (3 % des utilisateurs).
Même lorsque les RH désactivent un compte, 38 % de ces identités gardent des droits effectifs dans des applications critiques.
Les processus de revue ponctuelle ne suffisent plus face à des environnements dynamiques.

Les identités non humaines dominent désormais

Les identités techniques (comptes de service, clés API, tokens, automatisations) sont 17 fois plus nombreuses que les utilisateurs humains.
Une concentration extrême des privilèges :
- 2 188 identités machines (0,01 %) contrôlent 80 % des ressources cloud.
Ces identités n’ont ni cycle de vie naturel ni expiration automatique, ce qui accroît fortement l’impact d’un compromis.

Dégradation rapide de la qualité des permissions

Le rapport classe les mauvaises permissions en quatre catégories :

sur-privilégiées,
résiduelles,
non gouvernées,
non conformes aux politiques.

Évolution marquante :

permissions « sûres et conformes » : 70 % (2024) → 55 % (2025),
permissions non gouvernées : 5 % → 28 % en un an.
Les comptes locaux créés hors des outils IAM centraux sont un facteur clé de cette dérive.

MFA encore insuffisant

13 % des utilisateurs n’ont toujours pas de MFA.
Parmi ceux qui en ont un, une part significative repose sur des méthodes faibles :
- SMS ou email pour 6 % des utilisateurs Okta observés.
Ces faiblesses se recoupent souvent avec des comptes dormants ou orphelins, peu surveillés et faciles à exploiter.

La gestion des identités devient un enjeu business

Les conseils d’administration, régulateurs et assureurs exigent désormais des preuves de maîtrise des accès.
Le rapport montre un manque global de visibilité continue, tant sur les identités humaines que non humaines.
Les attaquants ciblent prioritairement cette couche d’accès devenue trop vaste et mal contrôlée.

« Les privilèges excessifs, les comptes dormants et la sur-autorisation sont aujourd’hui omniprésents », conclut Phil Venables, ancien CISO de Google Cloud.

Conclusion

La sécurité des identités n’est plus un simple problème technique : elle est devenue un risque systémique pour l’entreprise. Tant que la croissance des identités et des permissions ne sera pas compensée par une gouvernance continue et transverse, la dette d’accès continuera de s’accumuler… au bénéfice des attaquants.

Il s’agit d’un article de presse spécialisé visant à mettre en lumière une tendance de fond: la dérive des permissions et la montée des identités non humaines comme facteurs de risque clés pour l’identité numérique.

🔗 Source originale : https://www.helpnetsecurity.com/2025/12/30/identity-security-permissions-sprawl/

🖴 Archive : https://web.archive.org/web/20251230103234/https://www.helpnetsecurity.com/2025/12/30/identity-security-permissions-sprawl/

Contexte général#

Une explosion incontrôlée des permissions#

Comptes dormants et orphelins : un risque structurel#

Des identités humaines massivement sur-autorisées#

Les identités non humaines dominent désormais#

Dégradation rapide de la qualité des permissions#

MFA encore insuffisant#

La gestion des identités devient un enjeu business#

Conclusion#