Le rapport Microsoft Digital Defense 2025 dresse un constat sans appel. La bataille du mot de passe est dépassée. Les attaques ne visent plus l’utilisateur, mais les identités — humaines, applicatives ou de service — qui tissent l’architecture numérique des organisations. Cette bascule reconfigure en profondeur la défense des systèmes d’information en plaçant la gouvernance des identités au cœur de la résilience.
Longtemps la cybersécurité s’est concentrée sur la protection du poste de travail et la détection des comportements anormaux des utilisateurs. En 2025, la surface d’attaque s’est déplacée vers ce qui fonde désormais la confiance numérique, l’identité. Dans un monde où l’accès aux ressources s’effectue par délégation et où les environnements hybrides se multiplient, chaque identité devient un point d’entrée potentiel. C’est cette évolution qu’expose le rapport 2025 de Microsoft, document de référence sur les tendances du cybercrime mondial.
Selon ses analystes, les attaquants ne forcent plus l’accès, ils se connectent. Les identifiants volés, les jetons de session et les clés d’API sont devenus la nouvelle monnaie d’échange du cybercrime. Derrière chaque rançongiciel, chaque compromission de cloud, on retrouve le même schéma, l’exploitation d’identités mal sécurisées.
De la compromission au « login as a service »
Les infostealers tels que Lumma Stealer, RedLine ou Atomic Stealer ont ouvert la voie à une économie structurée de la compromission. Ces programmes récoltent à grande échelle cookies, mots de passe et jetons d’accès, revendus ensuite sur des places de marché spécialisées. Microsoft recense 368 courtiers d’accès opérant dans 131 pays. Véritables grossistes du crime numérique, ils fournissent aux groupes de rançongiciels ou d’espionnage les portes d’entrée toutes prêtes vers les systèmes d’entreprise.
Cette division du travail marque une mutation industrielle du cybercrime. L’accès initial est désormais un service marchand, avec segmentation sectorielle et tarification par niveau de privilège. Le vol d’identifiants n’est plus une fin en soi, mais un produit dérivé. Pour les DSI, cette logique impose une vigilance accrue. Une fuite de comptes, même anodine, peut devenir la clé d’un futur assaut coordonné.
Les identités non humaines, angle mort du multicloud
À mesure que les entreprises renforcent la sécurité des comptes utilisateurs par authentification multifacteur, les attaquants se détournent des individus pour viser les identités-machines. Scripts d’automatisation, applications SaaS, connecteurs API ou microservices disposent souvent de privilèges élevés et échappent aux contrôles classiques. Microsoft estime que la majorité des intrusions cloud observées en 2025 proviennent d’abus d’identités de service.
Cette tendance illustre un glissement profond. L’IA, l’orchestration et le cloud multiplient les interactions machine à machine. Chaque « workload » devient un sujet d’identité à part entière, qu’il faut auditer, tracer et protéger comme un utilisateur. Sans inventaire exhaustif ni rotation automatique des clés et jetons, les entreprises s’exposent à des intrusions silencieuses, parfois indétectables pendant des mois.
Quand l’authentification devient la cible
Autre évolution majeure, l’attaque des infrastructures d’authentification elles-mêmes. Le vol de clés de signature ou la compromission d’applications OAuth permettent d’usurper la fonction d’autorité de confiance. Il ne s’agit plus d’abuser des identifiants, mais de se faire passer pour le système qui les valide. Cette menace systémique fragilise la chaîne de confiance entre services cloud, fournisseurs d’identité et applications connectées.
Microsoft mentionne aussi la montée des attaques par injection de requêtes et la falsification de jetons dans les environnements IA. Ces vecteurs exploitent la logique même de délégation. La réponse passe par une gouvernance fine des accès, rotation cryptographique automatisée, segmentation des privilèges, journalisation inviolable et supervision continue des comportements d’authentification.
Le périmètre s’efface, le maillage identitaire s’impose
Les attaques hybrides mêlant systèmes locaux et cloud reposent désormais sur la capacité à se déplacer latéralement à travers les identités compromises. Plus de 40 % des campagnes de rançongiciels observées en 2025 comportent une composante cloud, contre 5 % deux ans plus tôt. Cette porosité rend obsolète la notion de périmètre. La sécurité doit suivre la trajectoire de l’identité, quel que soit l’environnement.
Cette réalité impose aux organisations d’adopter une approche zero trust intégrale. Ne faire confiance à aucun contexte, vérifier chaque session, chaque requête, chaque jeton. La supervision doit se déplacer du réseau vers la couche des identités en reliant les journaux d’accès, les comportements et les flux d’autorisation.
Vers une gouvernance distribuée des identités
Le rapport Microsoft insiste sur la nécessité de traiter la gestion des identités comme un pilier de la résilience organisationnelle. Cela suppose de croiser sécurité, conformité et continuité d’activité. Les entreprises doivent disposer de plans de reconstruction des systèmes d’identité, d’outils d’audit automatisés et d’une formation continue des administrateurs. L’investissement prioritaire ne réside plus dans les outils de détection, mais dans la capacité à cartographier et maîtriser le cycle de vie des identités.
À l’heure où les environnements numériques deviennent de véritables écosystèmes de délégation, cette gouvernance distribuée des identités s’impose comme le socle d’une cybersécurité moderne, anticipative, comportementale et profondément interconnectée.
