Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > L’authentification vous donne accès. La gouvernance détermine l’ampleur des dégâts.

L’authentification vous donne accès. La gouvernance détermine l’ampleur des dégâts.

par Patrick Spencer updated juin 1, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 7 minutes

Soixante et onze pour cent. C’est la part des entreprises ayant subi une violation liée à l’identité en 2025, selon une nouvelle étude de Sophos. Plus des deux tiers des organisations ont vu leurs systèmes d’identité compromis en une seule année. D’après l’étude, 67 % des attaques par ransomware ont démarré par une compromission d’identité. Et lorsque les chercheurs ont analysé les causes profondes, ils ont mis en lumière un point qui mérite plus d’attention : les identités non humaines — clés API, comptes de service et jetons OAuth — sont à l’origine de 41 % des incidents.

Contrairement aux identifiants humains, les identités non humaines font rarement l’objet de révisions lors des cycles trimestriels de recertification des accès, sont rarement renouvelées selon un calendrier régulier, et rarement révoquées lorsque la relation ou le workflow pour lesquels elles ont été créées évoluent. Elles se multiplient à un rythme que les programmes de gestion des identités humaines ne peuvent pas suivre — chaque intégration applicative crée au moins un identifiant, chaque workflow automatisé en génère d’autres. Dans un environnement multi-cloud mature, une entreprise peut compter des milliers d’identités non humaines, dont beaucoup échappent aux programmes de gouvernance des identités qui suivent les comptes humains.

Le rapport CrowdStrike 2026 Global Threat Report ajoute la notion de vitesse : un acteur eCrime met en moyenne 29 minutes pour passer de l’accès initial à la latéralisation, avec un record à 27 secondes. Le temps de réaction des équipes de sécurité face à une identité non humaine compromise se compte presque toujours en heures, voire en jours, et non en secondes.

5 enseignements clés

1. Les violations d’identité sont désormais une hypothèse de base, plus un risque marginal.

La nouvelle étude Sophos montre que 71 % des entreprises ont subi une violation liée à l’identité en 2025, avec 67 % des attaques par ransomware démarrant par une compromission d’identité. Le coût moyen d’une violation s’élève à 1,64 million de dollars — un chiffre qui ne couvre que les frais de confinement, avant même d’évaluer l’étendue totale de l’incident. La question architecturale n’est plus de savoir comment empêcher chaque violation, mais à quoi ressemble l’environnement lorsqu’une violation se produit. Le zéro trust appliqué à la protection des données est la réponse.

2. Les identités non humaines représentent une surface d’attaque sous-protégée.

Les clés API, comptes de service et jetons OAuth sont à l’origine de 41 % des violations d’identité selon les données Sophos. Les identifiants machines se multiplient plus vite que les identifiants humains, sont rarement révisés lors des cycles de recertification des accès, et sont souvent dotés de droits plus larges que nécessaire. Les intégrations API tierces aggravent la situation — chaque connexion génère des identifiants qui persistent bien après la fin de la relation.

3. L’authentification est un seuil d’entrée, pas une limite.

Une clé API compromise donne immédiatement à un attaquant tous les droits du compte de service associé — sans autre exploitation nécessaire. Une authentification forte réduit la probabilité de vol d’identifiants. Elle ne change pas ce que des identifiants volés permettent d’atteindre. Le rapport CrowdStrike 2026 Global Threat Report indique que le temps moyen de propagation d’une attaque eCrime est de 29 minutes — alors que la fenêtre de réaction dont disposent la plupart des organisations après la compromission d’une identité non humaine est bien plus longue.

4. La gouvernance du contenu détermine l’étendue des dégâts après l’échec de l’authentification.

La gouvernance du contenu en mode zéro trust garantit que même un accès authentifié ne permet pas d’atteindre des contenus sensibles sans autorisation explicite et journalisation dans un registre auditable. L’étendue des dégâts d’une compromission d’identité — humaine ou machine — dépend directement de la gouvernance des accès, pas de la robustesse de l’authentification. Selon les Prévisions 2026 de Kiteworks, 55 % des entreprises sont incapables d’isoler un processus automatisé compromis — autrement dit, la plupart ne peuvent pas stopper les dégâts une fois qu’un identifiant est abusé.

5. Le coût moyen de 1,64 million de dollars justifie l’investissement dans la gouvernance.

Les organisations qui contiennent les incidents en moins de 30 jours affichent un coût annuel moyen de risque interne de 14,2 millions de dollars selon DTEX ; celles qui mettent plus de 90 jours atteignent 21,9 millions — un différentiel de 7,7 millions qui reflète directement la maturité de la gouvernance. Le calcul n’est pas d’empêcher chaque violation, mais de limiter ce que des identités compromises peuvent atteindre lorsque l’authentification finit par échouer.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le prouver ?

Pour en savoir plus :

Pourquoi l’authentification est nécessaire mais insuffisante

L’authentification indique qui (ou quoi) frappe à la porte. Elle ne contrôle pas ce que l’on peut faire une fois à l’intérieur. Une clé API compromise donne à un attaquant les droits d’accès du compte de service associé — immédiatement et sans exploitation supplémentaire. Si ce compte peut lire des documents financiers, l’attaquant y a accès. S’il peut accéder à des contenus réglementés, l’attaquant y accède également.

Une authentification forte — authentification multifactorielle, jetons à durée de vie courte, identité basée sur certificat — complique l’obtention ou la falsification d’identifiants. Elle ne change pas ce qu’un identifiant légitime permet d’atteindre. Un attaquant qui trouve une clé API valide dans un dépôt public n’a pas contourné l’authentification. Il s’est authentifié. Et il continuera à le faire, tant que l’identifiant n’est pas renouvelé ou révoqué.

Les comptes de service sont souvent dotés de droits étendus pour faciliter la flexibilité des workflows automatisés. Les jetons OAuth héritent des autorisations de l’utilisateur qui les a générés, souvent bien plus larges que ce dont l’application a besoin. Résultat : une population d’identifiants — à l’origine de 41 % des violations d’identité selon Sophos — à la fois sous-gouvernée et à large périmètre.

Anatomie d’une violation d’identité non humaine

Un attaquant obtient une clé API pour un compte de service utilisé afin d’intégrer un système de gestion documentaire à une plateforme d’automatisation de workflows. La clé a été générée il y a 18 mois lors de la mise en place de l’intégration. Elle n’a jamais été renouvelée, car cela nécessitait la coordination de deux équipes. Le compte de service disposait d’un accès en lecture à l’ensemble du système documentaire — non pas par nécessité, mais parce que restreindre l’accès à certains dossiers aurait compliqué la mise en œuvre.

L’attaquant s’authentifie sur le système documentaire. Il a accès en lecture à tous les documents — contrats, rapports financiers, données réglementées, informations propriétaires. Il télécharge ce qu’il souhaite. Les journaux d’authentification montrent une activité normale depuis un compte de service connu. Rien dans le comportement ne déclenche d’alerte. La violation n’est détectée que plusieurs semaines plus tard, lors d’une réponse à incident déclenchée par un autre événement. À ce stade, les données ont déjà été exfiltrées et les coûts de confinement sont importants.

Les Prévisions 2026 de Kiteworks révèlent que 55 % des entreprises sont incapables d’isoler un système d’IA ou un processus automatisé qui commence à se comporter de façon inattendue — une faille de contrôle qui s’applique directement aux scénarios de violation d’identité non humaine. Si vous ne pouvez pas isoler l’identifiant de service détourné pendant l’enquête, l’attaquant conserve l’accès tout au long de votre réponse.

Ce que 1,64 million de dollars permettent en réponse à incident

Le coût moyen de 1,64 million de dollars pour une violation liée à l’identité donne un cadre financier à l’investissement dans la gouvernance. Ce montant inclut la réponse directe à l’incident — investigations, confinement, récupération, notifications — ainsi que les perturbations opérationnelles et l’exposition réglementaire. Les recherches de DTEX quantifient précisément la dimension de maturité de la gouvernance : les organisations qui contiennent les incidents en moins de 30 jours affichent un coût annuel moyen de risque interne de 14,2 millions de dollars ; celles qui mettent plus de 90 jours atteignent 21,9 millions. Un différentiel annuel de 7,7 millions qui reflète directement la maturité de la gouvernance.

L’investissement dans la gouvernance ne se résume pas à « combien coûte la prévention de chaque violation ? » mais bien à « combien coûte la réduction de l’étendue des dégâts, pour qu’une clé API compromise ne provoque qu’un incident maîtrisé et non une catastrophe ? » La gouvernance du contenu au niveau des accès — définition du périmètre d’accès de chaque identifiant, journalisation de chaque accès dans un registre auditable, et capacité d’isoler rapidement un identifiant au comportement anormal — change radicalement l’équation économique des violations d’identité.

La gouvernance au niveau du contenu

Le modèle zéro trust répond directement à la faille entre authentification et gouvernance. Le zéro trust stipule que l’authentification est nécessaire mais insuffisante — chaque requête, de chaque identité (humaine ou machine), doit être évaluée selon une politique explicite avant d’accorder l’accès.

La gouvernance au niveau du contenu signifie qu’une clé API pleinement authentifiée ne peut pas accéder à un fichier sensible, initier un transfert réglementé ou envoyer des données hors d’une zone approuvée, sauf si l’accès est explicitement autorisé par une politique, journalisé dans un registre auditable et soumis à révocation. Non pas parce que l’authentification a échoué — mais parce qu’elle n’est pas le dernier rempart.

Le Réseau de données privé Kiteworks applique la gouvernance au niveau du contenu sur toute la chaîne de communication de contenu sensible — transfert sécurisé de fichiers, messagerie électronique, partage sécurisé de fichiers, SFTP et la couche API utilisée par les processus automatisés et les systèmes basés sur l’IA pour accéder aux contenus de façon programmatique. Chaque demande d’accès — qu’elle vienne d’un utilisateur humain ou d’un identifiant machine — est évaluée selon une politique explicite avant d’accorder l’accès. Chaque identifiant peut être isolé rapidement en cas de comportement anormal, sans perturber l’ensemble du système. Le chiffrement validé FIPS 140-3 protège les données au repos et en transit. Les journaux d’audit infalsifiables sont transmis en temps réel au SIEM, avec une attribution complète à la personne ayant autorisé la demande machine.

Pour les agents IA et workflows automatisés accédant à des contenus réglementés via le Kiteworks Secure MCP Server et l’AI Data Gateway, la même gouvernance s’applique : chaque requête est authentifiée, autorisée selon des contrôles d’accès basés sur les attributs, limitée à l’usage prévu et journalisée. Une clé API compromise s’authentifie — et n’accède qu’à ce qui lui a été explicitement autorisé.

Le modèle de contenu zéro trust pour les environnements compromis par l’identité

Le chiffre de 71 % de Sophos signifie que la compromission d’identité est une hypothèse de base, plus un risque marginal. La question architecturale n’est pas « comment empêcher chaque compromission d’identité ? » mais « à quoi ressemble notre environnement lorsqu’une identité est compromise ? »

Dans un environnement de contenu zéro trust, la réponse est : l’identifiant compromis s’authentifie et n’accède qu’à ce qui lui a été explicitement autorisé. L’accès est journalisé avec une granularité suffisante pour détecter toute anomalie. L’identifiant peut être révoqué ou isolé dès la détection de l’anomalie, sans perturber les workflows légitimes dépendant d’autres identifiants.

Le renforcement des identités — MFA renforcée, durée de vie des identifiants raccourcie, meilleure gestion des secrets — réduit la probabilité de compromission. La gouvernance du contenu au niveau des accès réduit l’impact lorsque la compromission survient. Les deux investissements sont nécessaires. Avec un taux de base de 71 %, la réduction de l’impact mérite au moins autant d’attention que la réduction de la probabilité.

L’authentification ouvre la porte. La gouvernance détermine l’ampleur des dégâts.

Pour en savoir plus sur la protection de vos données sensibles au-delà de l’authentification, réservez votre démo personnalisée dès maintenant.

Foire aux questions

Une identité non humaine est un identifiant utilisé par un système automatisé, une application ou un agent IA pour s’authentifier auprès d’un autre système — clés API, identifiants de compte de service, jetons OAuth, certificats. Les identités non humaines se multiplient plus vite, sont rarement couvertes par la recertification des accès, sont souvent surprovisionnées et rarement révoquées lorsque la relation pour laquelle elles ont été créées évolue. L’AI Data Gateway et le Secure MCP Server de Kiteworks appliquent la gouvernance au niveau du contenu à l’accès des identités humaines et machines.

La gouvernance zéro trust limite l’étendue des dégâts en veillant à ce qu’un accès authentifié ne donne pas automatiquement accès à des contenus sensibles. Une clé API compromise peut s’authentifier mais ne peut pas accéder à des contenus hors de son périmètre défini, ni initier des transferts de fichiers vers des points de terminaison non approuvés, et chaque accès est journalisé pour la détection d’anomalies. Le Réseau de données privé Kiteworks applique ce principe sur le MFT, le partage sécurisé de fichiers, la messagerie électronique et la couche API — une seule politique, un seul journal d’audit.

Quatre exigences : un périmètre d’accès explicite (les identifiants n’accèdent qu’aux ressources nécessaires à leur workflow), une journalisation obligatoire aussi granulaire que pour les accès humains, des règles de rotation avec application effective, et une capacité de révocation rapide. Selon les Prévisions 2026 de Kiteworks, 55 % des entreprises ne peuvent pas isoler un processus automatisé compromis — la capacité de révocation et d’isolation est la priorité à combler.

Le coût d’une violation représente le plafond de ce que l’investissement dans la gouvernance permet d’éviter — mais la recherche DTEX affine le calcul : les organisations qui contiennent les incidents en moins de 30 jours affichent un coût annuel moyen de risque interne de 14,2 M$, contre 21,9 M$ pour celles qui mettent plus de 90 jours. Ce différentiel de 7,7 M$ mesure directement la maturité de la gouvernance. Un périmètre d’identifiants restreint, la détection d’anomalies et l’isolation rapide sont les leviers pour réduire le temps de confinement.

Les secteurs où l’accès aux contenus sensibles se fait de façon programmatique sont les plus exposés : sous-traitants de la défense où les systèmes automatisés accèdent aux CUI, établissements de santé où les pipelines de données accèdent aux informations médicales protégées (PHI), et services financiers où les processus automatisés accèdent aux données financières des clients. Le chiffrement validé FIPS 140-3, l’application de l’ABAC et la traçabilité infalsifiable des accès répondent simultanément aux exigences HIPAA, CMMC et PCI DSS pour les accès machines et humains.

Ressources complémentaires

  • Article de blog Comment protéger les données d’essais cliniques dans la recherche internationale
  • Article de blog Le CLOUD Act et la protection des données au Royaume-Uni : pourquoi la juridiction compte
  • Article de blog Protection des données en mode Zero Trust : stratégies de mise en œuvre pour plus de sécurité
  • Article de blog Protection des données dès la conception : comment intégrer les exigences RGPD à votre programme MFT
  • Article de blog Comment prévenir les violations de données avec le partage sécurisé de fichiers à l’international

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks