« Les attaquants ne forcent plus les portes, ils se connectent ! »
À l’approche de l’Identity Management Day, Sophos alerte sur le rôle central de l’identité, cause racine de plus de 67 % des cyberattaques. L’avis de Bruno Durand, VP Sales, Southern Europe, Sophos
« Les attaquants ne forcent plus les portes, ils se connectent. Lorsqu’une identité est compromise, la confiance est automatiquement accordée. C’est pourquoi la protection de l’identité est devenue le fondement de la cybersécurité moderne. Les données que nous analysons confirment cette bascule. »
La cybersécurité a changé de visage. L’image de pirates informatiques forçant les défenses d’une entreprise est de plus en plus obsolète, remplacée par une réalité plus insidieuse : celle d’attaquants qui entrent simplement en utilisant les clés de la maison. C’est le constat alarmant dressé par Bruno Durand, VP Sales, Southern Europe, Sophos. À quelques jours de l’International Identity Management Day, il souligne un changement de paradigme fondamental dans les modes opératoires des cybercriminels.
Sur un échantillon de 661 incidents étudiés entre novembre 2024 et octobre 2025, plus de 67 % des causes racines sont liées à l’identité. Dans le détail, plus de 42 % résultent de l’utilisation d’identifiants compromis, devant les attaques par force brute (15,6 %) ou l’exploitation de vulnérabilités (16 %). Parallèlement, le phishing comme point d’entrée, continue de progresser, passant de 2,13 % à 5,86 % en un an.
Plus vite, plus fort
Dans le même temps, près de 60 % des organisations touchées n’avaient pas activé ou correctement configuré l’authentification multifacteur, ce qui laisse une surface d’attaque considérable. Ce constat, bien qu’en légère amélioration par rapport à l’année précédente (64 %), montre que les fondamentaux restent insuffisamment appliqués. Ce qui rend ces attaques particulièrement critiques, c’est leur discrétion. Avec des identifiants valides, l’activité malveillante ressemble à un comportement utilisateur légitime, ce qui complique fortement la détection.
Par ailleurs, la vitesse d’exécution s’accélère puisque les attaquants tentent désormais d’accéder à des environnements Active Directory en seulement 3,4 heures en médiane, soit une accélération de 70 % en un an. Le temps médian de présence dans les systèmes reste très court, 3 jours seulement, réduisant considérablement la fenêtre de réaction des équipes de sécurité.
« Nous constatons également que les PME sont en première ligne : 84 % des incidents concernent des organisations de moins de 1 000 employés, dont plus de la moitié des structures de moins de 250 personnes, continue Bruno Durand. Ces attaques ne ciblent donc plus uniquement les grandes entreprises, mais exploitent avant tout les faiblesses dans la gestion des identités, quel que soit le secteur. Le secteur de l’industrie est particulièrement touché (près de 20 % des cas), suivi des services financiers, du bâtiment, de l’informatique et de la santé. »
L’International Identity Management Day met en lumière un problème persistant, à savoir les contrôles d’identité existent, mais ils ne sont pas toujours pleinement appliqués. Une authentification multifacteur déployée de manière incomplète ou une gestion insuffisante des accès privilégiés créent des risques évitables.
Investir vraiment
« Ce n’est pas le moment de relâcher l’attention, insiste Bruno Durand. Les organisations doivent adopter une approche continue de la sécurité des identités : vérification contextuelle, surveillance des comptes, suppression des accès inutiles et contrôle strict des privilèges. »
L’identité est aujourd’hui le véritable plan de contrôle de la cybersécurité. Les entreprises qui investiront dans des systèmes d’identité résilients et une visibilité en temps réel seront en mesure de contenir les menaces. Les autres continueront à subir des violations silencieuses, rapides et difficiles à détecter.
