En 2025, les identifiants numériques sont devenus la pierre angulaire de toutes les infrastructures informatiques et, paradoxalement, leur plus grande vulnérabilité. Selon l'Identity Defined Security Alliance, 90 % des entreprises mondiales ont subi au moins un incident de sécurité lié à l’identité en 2024. Pire encore : près de 70 % de ces compromissions sont directement imputables à des attaques de type phishing.

Ces chiffres ne laissent aucune place à l’ambiguïté : l’identité numérique est désormais l’un des vecteurs d’attaque les plus critiques, et les mécanismes traditionnels de protection ont atteint leurs limites.

Le mot de passe, pourtant encore massivement utilisé, est le symbole de cette obsolescence. Héritage d’un modèle de sécurité fondé sur la connaissance, il se révèle structurellement faible, aisément contournable et incapable de faire face aux techniques de plus en plus sophistiquées des attaquants. Aujourd’hui, même les solutions d’authentification à double facteur (2FA), largement déployées dans les entreprises, reposent trop souvent sur deux éléments également liés à la connaissance de l’utilisateur : un mot de passe, puis un code à usage unique. Or, dans les scénarios de phishing modernes, l’utilisateur peut transmettre ces deux éléments à un acteur malveillant sans même s’en rendre compte.

Des outils comme evilginx2, qui capturent en temps réel les identifiants et les cookies de session, rendent caduques bon nombre de protections classiques. Il devient donc urgent d’opérer une rupture technologique.

L’authentification sans mot de passe, ou « passwordless » représente une avancée décisive. Elle repose sur le protocole WebAuthn, issu de la norme FIDO2, et sur l’utilisation de passkeys qui apportent une preuve cryptographique enregistrée localement pour attester de l’identité de l’utilisateur. Cette méthode ne repose plus sur un secret partagé, mais sur une clé unique, inviolable, associée à un appareil de confiance. S’y ajoute une dimension essentielle : la vérification bidirectionnelle. Ce n’est plus seulement à l’utilisateur de prouver qui il est, mais également au service ou au site de prouver sa légitimité, ce qui réduit considérablement les risques d’usurpation.

L’adoption de cette technologie transforme également l’expérience utilisateur. Elle élimine le besoin de mémoriser ou de gérer des mots de passe complexes, réduisant les frictions tout en augmentant la sécurité. Cette double avancée, à la fois ergonomique et sécuritaire est suffisamment rare pour être soulignée.

Mais adopter de nouvelles méthodes d’authentification ne suffit pas. Encore faut-il être capable de réagir rapidement en cas de compromission d’un compte utilisateur. Or, en 2024, en France, le délai moyen de détection d’une violation de données était de 218 jours. À cela s’ajoutaient en moyenne 76 jours supplémentaires pour contenir l’attaque. Durant cet intervalle, un cybercriminel dispose de tout le temps nécessaire pour circuler latéralement dans les systèmes, extraire des données sensibles ou préparer une attaque d’une plus grande ampleur.

C’est pourquoi les outils de réponse automatisée spécialisés dans la compromission d’identifiants sont devenus essentiels. Dès qu’un incident est détecté, ces solutions peuvent désactiver un compte, réinitialiser les clés d’authentification, forcer une nouvelle authentification multifacteur, révoquer toutes les sessions actives et verrouiller l’accès le temps de procéder à une analyse complète. Ce niveau d’automatisation réduit drastiquement le temps de réaction, limite la surface de compromission et empêche l’escalade de l’attaque. Dans un environnement où les cybercriminels s’appuient sur des scripts et des technologies d’automatisation offensives, il est illusoire de compter sur une intervention humaine seule.

La montée en puissance de ces solutions n’est d’ailleurs pas une simple tendance, mais un mouvement structurel. Selon Global Market Insights, le marché des plateformes de réponse automatisée et orchestrée aux incidents (SOAR) croît actuellement à un rythme annuel de 15 %, preuve de la maturité croissante de ces technologies dans les entreprises.

La question de la sécurisation des identifiants dépasse donc le seul enjeu technique. Elle se situe au croisement de la cybersécurité, de l’ergonomie numérique et de la résilience organisationnelle. Protéger les identifiants, ce n’est plus uniquement renforcer des mots de passe ou empiler des couches de vérification, c’est adopter une approche holistique de la sécurité. Cela implique d’intégrer les identités dans une logique de prévention, de détection et de remédiation en temps réel.

Il est temps de sortir de l’ère du mot de passe et du paradigme de la connaissance. Les menaces actuelles ne laissent plus de place aux approches fragmentées ou dépassées. La résistance au phishing passe par des méthodes d’authentification sans secret partagé et des outils capables d’automatiser la réponse dès la détection d’une compromission.

En 2025, les identifiants doivent être considérés comme un actif stratégique à part entière, au même titre que les données ou les infrastructures. Leur protection conditionne non seulement la sécurité des systèmes, mais aussi la continuité des activités, la réputation de l’organisation et, à long terme, sa compétitivité.

Par Chester Wisniewski, Field CISO chez Sophos