Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Les failles d’identité sont à l’origine de près de 90 % des enquêtes menées dans le cadre du rapport mondial 2026 sur la gestion des incidents de Unit 42

Les failles d’identité sont à l’origine de près de 90 % des enquêtes menées dans le cadre du rapport mondial 2026 sur la gestion des incidents de Unit 42

par Patrick Spencer updated février 26, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 15 minutes

Les attaquants n’ont pas besoin de forcer les serrures quand les portes sont déjà ouvertes. C’est la réalité dérangeante révélée par le rapport Unit 42 Global Incident Response Report 2026 de Palo Alto Networks, publié le 19 février 2026. S’appuyant sur plus de 750 interventions majeures dans plus de 50 pays, le rapport livre un constat qui devrait empêcher tout RSSI de dormir : les failles liées à l’identité ont joué un rôle déterminant dans près de 90 % des enquêtes. Pas des exploits de vulnérabilité. Pas des attaques zero-day sophistiquées. L’identité.

Les données confirment ce que les intervenants de première ligne répètent depuis des années : la voie d’accès la plus fiable à une entreprise passe par la porte d’entrée, en utilisant des identifiants volés, des sessions détournées et des autorisations qui auraient dû être révoquées depuis des mois, voire des années. La rapidité avec laquelle les attaquants exploitent ces failles a franchi un nouveau cap. En 2025, les intrusions les plus rapides sont passées de la compromission initiale à l’exfiltration confirmée de données en seulement 72 minutes — soit quatre fois plus vite que l’année précédente.

Pour les responsables de la sécurité, de la conformité et de la confidentialité des données, ce rapport est un signal d’alarme chiffré.

Et c’est précisément cet écart — entre la défense périmétrique et l’application opérationnelle des contrôles d’identité et de données — que des plateformes de gouvernance comme Kiteworks sont conçues pour combler.

5 enseignements clés

  1. L’identité est la porte d’entrée des attaquants — et elle reste grande ouverte. Les failles liées à l’identité ont joué un rôle déterminant dans près de 90 % des plus de 750 enquêtes menées par Unit 42 en 2025. Soixante-cinq pour cent des accès initiaux reposaient sur des techniques liées à l’identité — phishing, utilisation abusive d’identifiants, attaques par force brute et erreurs de configuration IAM. Les attaquants n’ont pas besoin de chaînes d’exploits sophistiquées s’ils peuvent se connecter avec des identifiants volés, détourner des sessions ou profiter de privilèges mal définis. Une analyse de plus de 680 000 identités cloud a révélé que 99 % disposaient d’autorisations excessives. Kiteworks répond à cette problématique grâce à l’application du principe du moindre privilège, à la vérification continue de chaque demande d’accès aux données et à des journaux d’audit détaillés qui suivent chaque interaction d’identité avec les données sensibles — offrant ainsi aux équipes de sécurité la visibilité nécessaire pour détecter l’utilisation abusive d’identifiants avant qu’elle ne devienne une fuite.
  2. Les attaques les plus rapides exfiltrent désormais les données en 72 minutes. Le quart des intrusions les plus rapides a atteint l’exfiltration confirmée de données en seulement 72 minutes en 2025 — contre 285 minutes l’année précédente, soit une accélération par 4. Le temps médian d’exfiltration était de deux jours. Pour les organisations soumises à des obligations de notification de violation comme la fenêtre de 72 heures du RGPD ou les lois sur la vie privée des États américains, un délai médian de deux jours signifie que l’horloge réglementaire démarre avant même que beaucoup n’aient confirmé l’incident. La surveillance en temps réel et l’alerte automatisée de Kiteworks détectent les mouvements anormaux de données dès qu’ils se produisent — et non après une analyse forensique — permettant ainsi aux équipes de sécurité de contenir l’exposition dans la fenêtre de temps de plus en plus courte exploitée par les attaquants.
  3. Plus de 90 % des violations étaient dues à des failles évitables — pas à des exploits sophistiqués. Dans plus de 90 % des violations, des failles évitables ont permis l’intrusion : manque de visibilité, contrôles appliqués de façon inégale ou confiance excessive dans les identités. Il ne s’agit pas de menaces persistantes avancées franchissant des défenses de pointe, mais de mauvaises configurations, de télémétrie incomplète et d’accès trop permissifs qui ouvrent la voie. Dans 87 % des enquêtes, les intervenants ont dû examiner des preuves provenant d’au moins deux sources distinctes pour reconstituer les événements. Kiteworks élimine ces angles morts en regroupant toutes les communications de contenu sensible — messagerie électronique, partage de fichiers, SFTP, API, transfert sécurisé de fichiers — sur une plateforme unique avec journalisation centralisée, application automatisée des règles et classification cohérente des données sur tous les canaux.
  4. Le risque lié à la supply chain logicielle s’étend à la connectivité de confiance. Le risque supply chain ne se limite plus au code vulnérable. Les attaquants exploitent les intégrations SaaS, les outils de gestion des fournisseurs et les dépendances applicatives pour contourner les périmètres à grande échelle. Les données issues d’applications SaaS étaient pertinentes dans 23 % des cas traités par Unit 42 en 2025, contre 6 % en 2022. Lors d’une enquête, les attaquants ont utilisé des jetons OAuth valides issus d’une plateforme compromise pour accéder à des environnements en aval — et l’analyse post-incident a révélé près de 100 intégrations tierces supplémentaires non surveillées. Kiteworks gère le risque fournisseur et supply chain grâce à la surveillance continue des accès fournisseurs sur tous les canaux, en signalant les écarts de comportement révélateurs de nouvelles fonctions ou de changements, et en tenant des journaux d’audit détaillant précisément quelles données sont consultées par les fournisseurs et à quel moment.
  5. L’extorsion se dissocie du chiffrement — le vol de données devient le nouveau levier. Le chiffrement n’est apparu que dans 78 % des cas d’extorsion en 2025, soit la baisse la plus marquée sur cinq ans. Les attaquants considèrent de plus en plus le chiffrement comme optionnel — le vol de données et la menace de divulgation publique suffisent à faire pression. Les demandes de rançon médianes ont grimpé à 1,5 million de dollars et les paiements médians ont presque doublé à 500 000 dollars. Même les organisations disposant de bonnes capacités de sauvegarde font face à l’extorsion liée à la fuite de données. Selon le RGPD, les lois sur la vie privée des États et les réglementations sectorielles, toute exfiltration non autorisée de données déclenche des obligations de notification, même sans chiffrement. Le modèle de sécurité centré sur les données de Kiteworks — contrôles d’accès, classification et chiffrement au niveau du contenu — garantit que même si des attaquants accèdent au réseau, les données sensibles restent protégées et traçables.

Le problème de l’identité est pire que vous ne le pensez

Les données d’Unit 42 dressent un tableau précis de la façon dont l’identité est devenue la principale surface d’attaque. Soixante-cinq pour cent des accès initiaux en 2025 reposaient sur des techniques liées à l’identité. Cela se décompose en ingénierie sociale liée à l’identité (33 %, dont 22 % pour le phishing seul), utilisation abusive d’identifiants et force brute (21 %), et défaillances de politique d’identité ou risques internes (11 %).

Mais l’accès initial n’est qu’un début. Une fois à l’intérieur, les attaquants exploitent les failles d’identité pour escalader les privilèges, se déplacer latéralement et atteindre les données sensibles. L’analyse d’Unit 42 sur plus de 680 000 identités cloud montre que 99 % des utilisateurs, rôles et services cloud disposent d’autorisations excessives — certaines inutilisées depuis plus de 60 jours. Ce n’est pas une erreur. Quatre-vingt-dix-neuf pour cent.

Des rôles trop larges, des autorisations héritées et des droits obsolètes non révoqués créent des chemins d’escalade reproductibles. Les attaquants n’ont pas besoin d’outils sophistiqués s’ils peuvent simplement écrire dans l’IAM et augmenter leurs privilèges en exploitant l’architecture d’accès de l’organisation. Le vol de jetons et les autorisations OAuth illicites leur permettent de contourner l’authentification multifactorielle, de persister sans reconnexion et d’opérer discrètement.

Les conséquences pour la confidentialité des données sont majeures. Lorsqu’une seule identité compromise peut ouvrir l’accès à l’ensemble des environnements cloud, aux applications SaaS et aux systèmes sur site, le risque d’exposition de données explose. Chaque compte de service non surveillé et chaque intégration OAuth dormante devient un canal potentiel de fuite de données réglementées hors de l’organisation.

Kiteworks gère ce risque au niveau des données. Ses contrôles d’accès basés sur les attributs appliquent le principe du moindre privilège pour chaque utilisateur, compte de service et système accédant à du contenu sensible. La vérification continue évalue chaque demande d’accès selon les règles en vigueur — pas d’authentification unique pour un accès illimité. Et des journaux d’audit détaillés suivent chaque interaction d’identité avec les données protégées, offrant aux équipes de sécurité les preuves nécessaires pour détecter l’utilisation abusive d’identifiants avant qu’elle ne dégénère en violation notifiable.

Les attaques touchent désormais tout, partout

L’un des constats les plus frappants du rapport est l’ampleur des intrusions modernes. Quatre-vingt-sept pour cent des incidents étudiés par Unit 42 impliquaient des activités sur plusieurs surfaces d’attaque — endpoints, réseaux, infrastructures cloud, applications SaaS et systèmes d’identité simultanément. Soixante-sept pour cent touchaient trois surfaces ou plus. Certains incidents en couvraient jusqu’à huit.

Cette réalité multi-surfaces a un impact direct sur les cadres de conformité conçus autour de la sécurité périmétrique. Quand les attaquants enchaînent identités cloud, jetons SaaS et Active Directory sur site lors d’une même intrusion, l’exposition réglementaire ne se limite plus à un seul système ou à une seule classification de données. Elle s’étend à plusieurs juridictions, types de données et unités métier.

Près de la moitié des incidents (48 %) impliquaient une activité via le navigateur, illustrant la fréquence à laquelle les attaques croisent les usages quotidiens où les collaborateurs accèdent à la messagerie, aux applications cloud et aux données de l’entreprise. Le navigateur est devenu le nouveau poste de travail — et l’une des surfaces les moins protégées de l’organisation.

La surface d’attaque cloud continue aussi de s’étendre. Environ 35 % des enquêtes concernaient des actifs cloud ou SaaS, et les données issues d’applications SaaS étaient pertinentes dans 23 % des cas en 2025, contre seulement 6 % en 2022. Cette évolution sur quatre ans est claire : à mesure que les organisations déplacent leurs données sensibles et processus métiers dans des outils cloud, les attaquants suivent.

C’est pourquoi Kiteworks regroupe toutes les communications de contenu sensible — messagerie électronique, partage de fichiers, SFTP, API, formulaires web et transfert sécurisé de fichiers — sur une plateforme unique avec des règles de sécurité unifiées et une journalisation centralisée. Quand chaque canal de circulation des données est gouverné par les mêmes contrôles d’accès et surveillé par la même infrastructure d’audit, les attaquants ne peuvent plus exploiter les failles entre outils cloisonnés. Cette télémétrie unifiée offre aux équipes SOC la visibilité transversale que Unit 42 considère comme la capacité la plus critique manquante dans les organisations étudiées.

Le problème de vitesse : 72 minutes pour voler des données

Les constats sur la rapidité des attaques bouleversent complètement l’équation de la réponse à incident.

Le quart des intrusions les plus rapides a atteint l’exfiltration confirmée de données en 72 minutes sur l’année 2025. Ce même indicateur était de 285 minutes en 2024. Soit une accélération par 4 en un an. La part des incidents atteignant l’exfiltration en moins d’une heure a aussi augmenté, passant de 19 % à 22 %.

Même le temps médian d’exfiltration n’était que de deux jours. Pour les organisations soumises à des obligations de notification de violation de données — que ce soit la fenêtre de 72 heures du RGPD, les lois américaines ou des réglementations sectorielles — un délai médian de deux jours signifie que l’horloge démarre avant même que beaucoup n’aient confirmé l’incident.

Cette accélération est directement liée au problème d’identité. Quand les attaquants s’authentifient avec des identifiants valides, ils évitent la phase d’exploitation bruyante que les outils de sécurité traditionnels sont censés détecter. Ils pénètrent le périmètre avec un accès de confiance et collectent immédiatement les données. Aucun malware à détecter. Aucun exploit à consigner. Juste une connexion légitime suivie d’un accès légitime aux données — jusqu’à ce que les données quittent l’organisation.

Unit 42 attribue en grande partie cette accélération à l’utilisation opérationnelle de l’intelligence artificielle par les acteurs malveillants. En 2025, les attaquants sont passés de l’expérimentation à l’utilisation systématique de l’IA pour la reconnaissance, l’ingénierie sociale, la génération de scripts et le dépannage. L’IA réduit les frictions à chaque étape du cycle d’attaque, permettant de mener plusieurs opérations en parallèle et de raccourcir le délai entre l’accès initial et l’impact.

La surveillance en temps réel et l’alerte automatisée de Kiteworks sont conçues pour ce scénario. Lorsque les schémas d’accès aux données s’écartent des habitudes — pics soudains de volume, accès à des horaires inhabituels, requêtes sur des classifications de données hors du périmètre habituel d’un utilisateur — Kiteworks signale immédiatement l’anomalie et déclenche des actions de confinement automatisées. Dans un monde où l’exfiltration se fait en 72 minutes, la différence entre un incident contenu et une violation notifiable dépend de la capacité à détecter en temps réel ou à s’appuyer sur une analyse a posteriori des journaux.

Plus de 90 % des violations étaient évitables — et cela doit faire réagir

Voici le constat le plus marquant : dans plus de 90 % des violations, des failles évitables ont permis l’intrusion. Pas des menaces persistantes avancées. Pas des exploits d’États-nations. Des failles évitables — manque de visibilité, contrôles appliqués de façon inégale et confiance excessive dans les identités.

Unit 42 a identifié trois causes systémiques récurrentes dans les enquêtes.

Premièrement, les angles morts de visibilité. Les données critiques existaient souvent mais restaient cloisonnées dans des outils distincts, empêchant les défenseurs de corréler les signaux entre identité, endpoint, cloud et SaaS. Dans 87 % des enquêtes, il a fallu examiner des preuves issues d’au moins deux sources distinctes pour reconstituer les faits, certains cas complexes nécessitant jusqu’à dix sources.

Deuxièmement, la complexité des environnements. Les règles de sécurité étaient rarement appliquées partout. La protection des endpoints pouvait être complète dans une unité métier mais absente ou dégradée dans une autre. Cette incohérence crée une voie de moindre résistance que les attaquants exploitent systématiquement.

Troisièmement, la dérive des identités. Les autorisations s’accumulent au fil du temps, à mesure que les rôles évoluent, que les exceptions perdurent et que les droits hérités ne sont pas révoqués. Résultat : un parc d’identités où presque chaque compte dispose de trop d’accès, et où un identifiant compromis ouvre beaucoup plus de portes qu’il ne le devrait.

Pour les équipes conformité et confidentialité, ce constat change la donne. Le risque n’est pas que les adversaires soient trop sophistiqués pour être stoppés. Le risque, c’est que l’hygiène de base — déploiement cohérent des contrôles, revue régulière des autorisations, télémétrie unifiée — ne soit pas assurée à l’échelle de l’entreprise. Ce sont ces failles qui conduisent aux violations notifiables, aux sanctions réglementaires et aux obligations d’information des clients.

Kiteworks traite directement ces trois causes systémiques. Sa plateforme unifiée élimine les angles morts en regroupant toutes les communications de contenu sensible dans une seule infrastructure d’audit. L’application automatisée des règles garantit des contrôles cohérents sur tous les canaux et unités métier — pas seulement là où la sécurité a été priorisée. Et ses contrôles d’accès basés sur les attributs luttent contre la dérive des identités en appliquant des autorisations au niveau des données, indépendamment des rôles hérités ou des privilèges accumulés — chaque accès est évalué selon la politique en vigueur, à chaque demande.

Le risque supply chain s’étend à la connectivité de confiance

Le rapport documente l’extension du risque supply chain logiciel au-delà du code vulnérable, incluant les intégrations SaaS, les outils de gestion des fournisseurs et les dépendances applicatives.

Les données issues d’applications SaaS étaient pertinentes dans 23 % des cas traités par Unit 42 en 2025. Lors d’une enquête, des attaquants ont utilisé des jetons OAuth valides issus d’une plateforme de gestion commerciale compromise pour accéder à des environnements Salesforce en aval. L’activité ressemblait à de l’automatisation CRM classique. L’analyse post-incident a révélé près de 100 intégrations tierces supplémentaires connectées à Salesforce — beaucoup étant dormantes, non surveillées ou détenues par d’anciens collaborateurs.

Les outils fournisseurs, en particulier les plateformes de supervision et de gestion à distance, sont également apparus comme un vecteur de risque majeur. Unit 42 a identifié que 39 % des techniques de commande et contrôle étaient liées à des outils d’accès à distance, qui se fondent dans le trafic administratif et sont difficiles à distinguer des activités légitimes des fournisseurs.

Pour les organisations soumises à des obligations de confidentialité, ces constats révèlent un angle mort critique. Les intégrations tierces héritent souvent des autorisations accordées lors de leur mise en place, parfois avec la capacité de lire des données sensibles, de gérer des utilisateurs ou de modifier des enregistrements. Lorsqu’un fournisseur amont est compromis, ces autorisations héritées deviennent le vecteur d’attaque — et l’organisation concernée peut avoir une visibilité limitée sur les données consultées ou exfiltrées.

Le risque lié aux dépendances open source aggrave le problème. Les recherches d’Unit 42 indiquent que plus de 60 % des vulnérabilités dans les applications cloud natives résident dans des bibliothèques transitives — des dépendances indirectes importées via les packages utilisés par votre code. Les acteurs malveillants injectent également du code malveillant dans des packages amont qui s’exécutent lors des phases de build et d’installation, compromettant la chaîne avant même le déploiement.

Kiteworks gère le risque fournisseur et supply chain grâce à la surveillance continue de tous les canaux d’interaction des fournisseurs avec les données de l’organisation. Lorsqu’un compte fournisseur présente un comportement inhabituel — variation du volume de données, fréquence d’accès ou type de requêtes — Kiteworks signale immédiatement l’écart et consigne les preuves. Cela permet aux équipes sécurité d’identifier quand un produit fournisseur a changé de manière à impacter le traitement des données sensibles, et de disposer d’un journal d’audit pour prouver la conformité ou révéler une exposition.

L’extorsion se dissocie du chiffrement — le vol de données devient le nouveau levier

L’économie de la cybercriminalité évolue et impacte directement les stratégies de protection des données. Le chiffrement n’est apparu que dans 78 % des cas d’extorsion en 2025, contre près de 90 % ou plus entre 2021 et 2024.

Les attaquants considèrent de plus en plus le chiffrement comme optionnel. Le vol de données et la menace de divulgation publique suffisent à faire pression. Les demandes de rançon médianes sont passées de 1,25 à 1,5 million de dollars, tandis que les paiements médians ont presque doublé, passant de 267 500 à 500 000 dollars.

Ce changement a des conséquences majeures pour la confidentialité. Même les organisations dotées de bonnes capacités de sauvegarde et de restauration — la défense classique contre les ransomwares — font désormais face à l’extorsion liée à la menace de fuite de données. Environ 41 % des victimes pouvaient restaurer à partir de sauvegardes sans payer, mais cela ne supprimait pas la pression liée aux données volées. Et dans 26 % des cas d’extorsion, les attaquants ciblaient spécifiquement les systèmes de sauvegarde.

La menace d’exposition de données crée des obligations réglementaires et juridiques, que les systèmes aient été chiffrés ou non. Selon le RGPD, les lois américaines et les réglementations sectorielles, toute exfiltration non autorisée de données personnelles déclenche des obligations de notification, un contrôle réglementaire et des sanctions potentielles — que le ransomware ait été déployé ou non.

Le modèle de sécurité centré sur les données de Kiteworks répond à cette réalité. En appliquant le chiffrement, les contrôles d’accès et la classification au niveau du contenu, Kiteworks garantit que même si des attaquants accèdent au réseau, les données restent protégées. Si des données sont exfiltrées, des journaux d’audit détaillés consignent précisément ce qui a été pris, quand et par quel canal — fournissant ainsi les preuves forensiques exigées par les régulateurs et réduisant la portée des obligations de notification.

De l’exposition à l’action : que doivent faire les responsables sécurité maintenant ?

Le rapport Unit 42 propose des recommandations concrètes autour de trois priorités : réduire l’exposition, limiter la portée de l’impact et bâtir une capacité de réponse à la vitesse des machines. Pour les responsables de la sécurité et de la conformité, voici les actions les plus urgentes.

Déployer une authentification forte résistante au phishing et appliquer le principe du moindre privilège. Privilégier FIDO2/WebAuthn pour les rôles sensibles. Supprimer les droits d’administration permanents au profit d’un accès privilégié juste-à-temps. Kiteworks applique le moindre privilège au niveau des données, garantissant que chaque demande est évaluée selon la politique en vigueur, indépendamment des droits réseau de l’utilisateur.

Recenser et faire tourner les identités machines. Mettre en place une découverte continue des comptes de service, rôles d’automatisation et clés API. Faire tourner les identifiants statiques de tout compte de service privilégié inchangé depuis plus de 90 jours. Les journaux d’audit détaillés de Kiteworks servent de base à cet inventaire en enregistrant chaque interaction avec les données sur tous les canaux.

Mettre en place une surveillance continue des accès fournisseurs et tiers. Aller au-delà des évaluations ponctuelles. Kiteworks surveille en continu les accès fournisseurs sur la messagerie, le partage de fichiers, les API, SFTP et le transfert sécurisé de fichiers. Lorsqu’un comportement fournisseur change, Kiteworks signale l’écart et consigne les preuves.

Centraliser la télémétrie dans une vue unifiée. Le manque de visibilité unifiée a été un facteur clé du succès des attaquants en 2025. La plateforme unifiée de Kiteworks centralise la journalisation sur tous les canaux de contenu sensible, éliminant les outils cloisonnés qui obligent à reconstituer manuellement les attaques à partir de sources disparates.

Investir dans la prévention, pas seulement dans la réponse. Rééquilibrer les budgets vers la maturité de la gouvernance, la gestion des actifs, la classification des données et la supervision de la supply chain. Kiteworks fournit l’infrastructure préventive — application automatisée des règles, classification des données, contrôles d’accès et surveillance des fournisseurs — qui empêche les violations au lieu de les documenter a posteriori.

Se préparer à des délais d’exfiltration inférieurs à une heure. Avec des attaques exfiltrant les données en 72 minutes, la détection et le confinement doivent fonctionner en temps réel. Les alertes et capacités de confinement automatisées de Kiteworks détectent les mouvements anormaux de données dès qu’ils se produisent, et non après une analyse forensique.

L’écart d’exposition ne se comblera pas tout seul

Le rapport Unit 42 Global Incident Response Report 2026 est sans appel : l’identité est le champ de bataille, et la plupart des organisations sont en train de perdre. Non pas parce que les attaquants sont brillants, mais parce que les fondamentaux ne sont pas appliqués de façon cohérente. Les autorisations s’accumulent. Les intégrations ne sont pas surveillées. La visibilité reste cloisonnée. Et quand l’attaquant se connecte avec un identifiant valide, le délai entre l’accès et le vol de données se compte désormais en minutes, pas en jours.

Pour chaque responsable de la sécurité, de la conformité ou de la confidentialité des données, le message est clair : l’écart entre votre programme de gouvernance des identités sur le papier et la réalité de votre parc d’identités en production est l’endroit où se produira votre prochaine violation. Comblez-le avant que quelqu’un d’autre ne le trouve.

Kiteworks fournit l’infrastructure opérationnelle qui comble cet écart. Des journaux d’audit détaillés qui prouvent l’application des contrôles. Une surveillance continue qui détecte les changements de comportement avant qu’ils ne deviennent des violations de conformité. Des contrôles d’accès basés sur le moindre privilège qui empêchent les identités compromises d’accéder à des données au-delà de leur périmètre autorisé. Et une infrastructure automatisée et évolutive qui rend la gouvernance des données accessible à toutes les organisations.

Les organisations qui éviteront la prochaine violation seront celles qui auront dépassé les politiques pour passer à l’application opérationnelle. Celles qui auront bâti l’infrastructure à la hauteur de leurs ambitions de gouvernance. Celles qui auront fait de la sécurité des données un impératif business — et déployé les plateformes pour le prouver.

Pour découvrir comment Kiteworks peut vous aider, réservez votre démo sans attendre !

Foire aux questions

L’abus de jetons OAuth et les attaques par octroi illicite figurent parmi les techniques d’attaque liées à l’identité les plus efficaces, car elles ciblent la couche d’autorisation plutôt que celle d’authentification — l’authentification multifactorielle ne les arrête donc pas. Typiquement, un acteur malveillant incite un utilisateur à autoriser une application malveillante via un consentement OAuth légitime, ou compromet une plateforme fournisseur qui détient déjà des jetons OAuth valides vers des environnements SaaS en aval. Une fois en possession d’un jeton d’accès valide, l’attaquant peut interroger les API, lire des données sensibles et se déplacer latéralement sans déclencher d’alerte d’authentification — car du point de vue du système, chaque requête est légitimement autorisée. L’enquête d’Unit 42 a révélé près de 100 intégrations tierces dormantes et non surveillées sur une instance Salesforce. Pour stopper cela, trois contrôles sont nécessaires, indépendamment de l’authentification multifactorielle : inventaire et revue continue de tous les octrois OAuth et intégrations tierces, avec révocation des octrois dormants ; surveillance comportementale pour établir des bases par intégration et signaler les écarts de volume, de type de requête ou de classification des données consultées ; et journaux d’audit retraçant chaque appel API et accès aux données via chaque intégration, rendant visible tout accès non autorisé dès qu’il survient plutôt que des semaines plus tard lors d’une analyse forensique.

Le constat d’Unit 42 selon lequel 99 % des utilisateurs, rôles et services cloud disposent d’autorisations excessives — certaines inutilisées depuis plus de 60 jours — reflète un problème structurel que les revues d’accès ponctuelles ne peuvent résoudre. Les autorisations s’accumulent via l’héritage des rôles, des exceptions qui ne sont jamais révoquées et des droits hérités d’anciens collaborateurs ou de systèmes décommissionnés. Une remédiation efficace à grande échelle repose sur trois axes. D’abord, la découverte continue plutôt que des audits périodiques : des outils automatisés qui identifient chaque identité IAM — utilisateurs, comptes de service, clés API, rôles d’automatisation — et cartographient ce qui a réellement été accédé sur les 30, 60 et 90 derniers jours par rapport à ce que les autorisations permettent. Ensuite, l’application de contrôles au niveau des données comme mesure compensatoire : même si le nettoyage IAM n’est pas complet, les contrôles d’accès basés sur les attributs au niveau des données limitent ce qu’une identité peut réellement atteindre dans un système, dissociant l’accès aux données des autorisations d’infrastructure. Enfin, le privilège juste-à-temps : suppression des droits d’administration permanents au profit d’un accès temporaire qui expire automatiquement. Cela élimine le privilège accumulé qui rend les identifiants compromis si précieux pour les attaquants — un identifiant volé avec accès JIT ne donne pas d’élévation persistante.

Un délai médian de deux jours jusqu’à l’exfiltration confirmée crée une exposition aiguë à la notification de violation, car la plupart des cadres réglementaires font démarrer l’horloge de notification dès la prise de connaissance d’une violation de données personnelles — et non à la certitude forensique. Selon le RGPD, les organisations doivent notifier leur autorité de contrôle dans les 72 heures après avoir pris connaissance d’une violation impliquant des données personnelles. Si l’exfiltration a lieu le premier jour et la détection le second, la fenêtre de 72 heures peut déjà courir. Les lois américaines — dont celles calquées sur le CCPA californien — imposent des notifications sous 30 à 72 heures pour certaines catégories de données sensibles. Le problème de conformité est aggravé par le manque de télémétrie : dans 87 % des enquêtes d’Unit 42, il a fallu reconstituer les événements à partir de deux sources cloisonnées ou plus. Sans journaux d’audit unifiés couvrant chaque accès aux données via la messagerie, SFTP, API et transfert sécurisé de fichiers, les organisations ne peuvent pas déterminer rapidement quelles données ont été consultées ou exfiltrées — ce qui crée une violation réglementaire secondaire en plus de la fuite initiale.

La télémétrie fragmentée favorise les attaquants car elle oblige les défenseurs à travailler avec une vision incomplète alors que les attaquants bénéficient d’une visibilité totale sur l’environnement compromis. Dans 87 % des enquêtes d’Unit 42, il a fallu recouper des preuves issues d’au moins deux sources distinctes ; les cas complexes en mobilisaient jusqu’à dix. Chaque frontière entre sources représente une faille où l’activité de l’attaquant n’a pas été enregistrée, signalée ou reliée à d’autres indices. Une infrastructure d’audit unifiée requiert cinq capacités : couverture sur tous les canaux de circulation des données sensibles — messagerie, partage de fichiers, SFTP, API, transfert sécurisé de fichiers, formulaires web — pour qu’aucun chemin d’exfiltration ne soit hors du champ forensique ; recherche en temps réel plutôt que traitement par lots, pour disposer de chronologies forensiques en quelques minutes en cas d’incident ; classification cohérente des données sur tous les canaux, permettant de cibler immédiatement les catégories de données consultées ; corrélation des identités reliant comptes de service, jetons API et utilisateurs à une identité commune ; et intégration DLP signalant les violations de règles en temps réel plutôt qu’a posteriori. Sans ces cinq éléments, les enquêteurs reconstitueront toujours l’attaque à partir de fragments — une fois qu’elle a déjà réussi.

Le passage à une extorsion où le chiffrement devient optionnel — présent dans seulement 78 % des cas en 2025, contre plus de 90 % les années précédentes — invalide l’idée que la sauvegarde et la restauration suffisent à se protéger des ransomwares. Quand 41 % des victimes peuvent restaurer sans payer mais subissent tout de même l’extorsion liée à la fuite de données, l’attaque a déjà atteint son objectif avant même la demande de rançon. Pour la confidentialité et la conformité, la conséquence est directe : toute exfiltration non autorisée de données personnelles déclenche des obligations de notification RGPD, HIPAA, lois américaines et sectorielles, que le ransomware ait été déployé ou non. Les organisations qui voient la réponse ransomware comme un simple problème de restauration passent à côté de l’exposition réglementaire, juridique et réputationnelle créée par le vol de données indépendamment du chiffrement. Il faut passer d’une défense centrée sur la sauvegarde à une prévention centrée sur la donnée : appliquer les contrôles d’accès et la prévention des pertes de données au niveau du contenu pour qu’un attaquant ne puisse pas accéder à des données hors du périmètre de l’identité compromise, et disposer de journaux d’audit détaillés permettant de circonscrire immédiatement ce qui a été consulté en cas d’exfiltration — pour une notification défendable plutôt qu’une déclaration par défaut au pire des cas.

Ressources complémentaires

  • Article de blog Architecture Zero Trust : Ne jamais faire confiance, toujours vérifier
  • Vidéo Microsoft GCC High : Les inconvénients qui poussent les sous-traitants de la Défense vers des solutions plus intelligentes
  • Article de blog Comment sécuriser les données classifiées après détection par DSPM
  • Article de blog Instaurer la confiance dans l’IA générative grâce à une approche Zero Trust
  • Vidéo Guide ultime pour sécuriser le stockage des données sensibles à destination des responsables IT

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks