Cybersécurité

Identités non-humaines : pourquoi elles deviennent le nouveau défi de la cybersécurité

Mark Elian
Journaliste RISKINTEL MEDIA
Publié le
19 June 2026
Restez connectés aux idées qui comptent
Recevez nos émissions en avant-première, accédez aux coulisses des débats, et rejoignez les professionnels qui façonnent l’écosystème Cyber, Tech et Défense.
S’inscrire à la newsletter
Flèche violet foncé pointant vers le haut sur un fond blanc.

Longtemps centrée sur la protection des réseaux et des terminaux, la cybersécurité se déplace aujourd’hui vers un nouveau périmètre : l’identité. Avec la généralisation du cloud, des API, des comptes de service et désormais des agents d’intelligence artificielle, les organisations doivent gérer un volume croissant d’identités non humaines. Lors d’une Table Ronde des Experts organisée par Riskintel Media, plusieurs spécialistes ont partagé leur retour d’expérience sur les défis de gouvernance, de visibilité et de contrôle que pose cette transformation majeure de l’Identity Security.

LA TABLE RONDE DES EXPERTS / PHOTO : DAVID MARMIER

Pendant plus de deux décennies, la cybersécurité s’est principalement structurée autour de la protection du réseau, des terminaux et des données. Pourtant, l’évolution des architectures cloud et l’essor de l’intelligence artificielle déplacent progressivement le centre de gravité de la sécurité vers un autre objet : l’identité.

À lire aussi : Nvidia DGX Spark : la stratégie pour mettre fin à la dépendance au cloud IA

Cette mutation est d’autant plus importante que les organisations ne gèrent plus uniquement des utilisateurs humains, mais également des comptes de service, des API, des robots logiciels et désormais des agents d’intelligence artificielle.

Dans ce contexte, l’identité est devenue le nouveau périmètre de sécurité des entreprises. À travers l’analyse des transformations technologiques récentes et des témoignages d’experts, il s’avère que la gouvernance des identités humaines et non humaines constitue désormais un enjeu central de résilience cyber.

La disparition du périmètre traditionnel

L’histoire de la cybersécurité est celle d’un déplacement progressif des frontières. Dans les années 2000, la protection reposait largement sur le modèle du « château fort » : des pare-feu protégeaient un réseau d’entreprise relativement fermé. L’adoption massive du cloud, du télétravail et des services SaaS a progressivement rendu ce modèle obsolète.

Aujourd’hui, les utilisateurs se connectent depuis des environnements variés. Les applications sont distribuées entre plusieurs fournisseurs cloud. Les données circulent constamment entre systèmes internes et externes. Dans ce contexte, la question fondamentale n’est plus « d’où la connexion ? », mais « qui demande l’accès ? ».

CHAOUKI CHAABANE / PHOTO : DAVID MARMIER

Cette évolution explique l’émergence du paradigme Identity Security, qui considère l’identité comme le nouveau périmètre de sécurité. Comme l’a souligné Chaouki Chaabane, Enterprise Sales Executive chez Delinea, lors de la Table Ronde des Experts de Riskintel Media, « aujourd’hui, l’identité, peu importe l’individu, ça devient de la sécurité ». Cette affirmation traduit une rupture conceptuelle majeure : l’identité n’est plus un simple objet administratif géré par les ressources humaines, mais un actif critique dont la compromission peut entraîner des conséquences opérationnelles majeures.

À lire aussi : Mastercard, Recorded Future et la cybercriminalité financière : comprendre la menace pour mieux se défendre

Les statistiques récentes confirment cette tendance. Selon le rapport Cost of a Data Breach 2024 d’IBM, les identifiants compromis constituent encore le vecteur d’attaque initial le plus fréquent, représentant 16% des violations étudiées. Ces incidents sont également les plus longs à détecter et à contenir. Par ailleurs, le coût moyen mondial d’une violation de données a atteint 4,88 millions de dollars en 2024, soit une augmentation de 10% en un an.

L’identité est ainsi devenue la cible privilégiée des attaquants parce qu’elle offre un accès légitime aux systèmes sans nécessiter l’exploitation visible d’une vulnérabilité technique.

L’erreur humaine : un problème persistant mais insuffisant

Les débats sur la cybersécurité mettent fréquemment l’accent sur le facteur humain. Julien Metayer, consultant spécialisé en cybersécurité offensive chez Opix, rappelle que « l’humain est faillible » et que la majorité des incidents de sécurité trouvent leur origine dans une erreur humaine.

JULIEN METAYER / PHOTO : DAVID MARMIER

Cette observation demeure pertinente. En effet, le partage de mots de passe, les erreurs de configuration, le phishing ou encore l’utilisation de méthodes d’authentification inadaptées continuent d’alimenter une part importante des compromissions. Patrick Renaudin, responsable identité dans un groupe d’assurances, remarquait ainsi, lors de la Table Ronde des Experts, qu’« en 2026, personne ne devrait écrire un mot de passe dans un mail et se l’envoyer », alors même que cette pratique subsiste dans certaines organisations.

Cependant, réduire la sécurité des identités à une question de sensibilisation serait insuffisant. Les utilisateurs sont soumis à des contraintes opérationnelles réelles. Comme le souligne Julien Metayer, certaines méthodes d’authentification peuvent se révéler incompatibles avec les exigences métiers. La sécurité doit donc être adaptée aux usages plutôt qu’imposée de manière uniforme.

À lire aussi : Données personnelles et IA : comment vos gestes quotidiens ont entraîné l'intelligence artificielle à votre insu

Cette réflexion rejoint directement les principes du modèle Zero Trust. Dans cette approche, aucun utilisateur, terminal ou application n’est considéré comme fiable par défaut. Chaque demande d’accès doit être vérifiée en permanence selon son contexte, son niveau de risque et ses privilèges. Le Zero Trust cherche précisément à limiter l’impact des erreurs humaines en réduisant les privilèges accordés et en imposant une vérification continue.

Toutefois, comme l’a rappelé Renaudin, la mise en œuvre d’une gouvernance moderne des identités représente un investissement important, notamment dans les grands groupes confrontés à des systèmes hérités (legacy systems). La difficulté n’est donc pas seulement technologique, mais également organisationnelle et économique.

L’explosion des identités non humaines

La transformation la plus significative des dernières années concerne probablement la multiplication des identités non humaines. Les entreprises modernes utilisent désormais des milliers, voire des millions, de comptes de service, certificats, clés API, conteneurs, micro-services et agents logiciels. À cette liste s’ajoutent aujourd’hui les agents d’intelligence artificielle capables d’exécuter des actions de manière autonome.

PATRICK RENAUDIN / PHOTO : DAVID MARMIER

Plusieurs études récentes indiquent que les identités non humaines dépassent désormais largement les identités humaines dans les organisations. Certains travaux évoquent des ratios supérieurs à 80 identités machines pour un utilisateur humain.

Cette réalité rejoint directement l’observation formulée par Chaouki Chaabane : « les identités non humaines sont largement plus importantes que les identités humaines au sein d’une organisation ».

À lire aussi : Claude Mythos, MCP et agents IA : quand la surface d'attaque devient incontrôlable

Le problème est que les mécanismes de gouvernance restent largement conçus pour les utilisateurs humains. Les procédures de création, de validation, de revue des droits ou de suppression des comptes sont relativement bien établies pour les employés et les prestataires. En revanche, il est souvent difficile d’identifier précisément le propriétaire d’un compte de service ou de savoir pourquoi une clé API possède encore des privilèges élevés plusieurs années après sa création.

Cette absence de visibilité constitue aujourd’hui l’un des principaux angles morts de la cybersécurité. Patrick Renaudin soulignait ainsi qu’il n’est pas toujours possible de « lister l’ensemble des identités non humaines dans la boutique » ni d’identifier clairement leur propriétaire.

L’intelligence artificielle comme révélateur des failles de gouvernance

L’émergence des systèmes d’intelligence artificielle accentue encore ces difficultés. Contrairement à certaines représentations médiatiques, les agents d’IA ne disposent pas d’une autonomie magique. Pour interagir avec un système d’information, ils doivent recevoir des identifiants, des permissions et des droits d’accès. Comme le rappelle Chaouki Chaabane, une IA ne peut rien faire si on ne lui donne pas les credentials ».

L’enjeu n’est donc pas seulement technologique ; il est avant tout lié à la gouvernance. Les agents IA peuvent accéder à des bases de données, consulter des documents sensibles, déclencher des workflows ou interagir avec des applications critiques. Dès lors, ils doivent être considérés comme des identités à part entière, soumises aux mêmes exigences de contrôle que les utilisateurs humains.

À lire aussi : Guerre des blocs, drones, IA et souveraineté numérique : ce que le Risk Summit 2026 révèle sur le monde de demain

Cette nécessité est renforcée par l’apparition de nouvelles menaces. Julien Metayer évoque notamment les attaques visant directement les modèles d’apprentissage (model poisoning), qui consistent à corrompre les données utilisées pour entraîner ou enrichir les systèmes d’IA. L’intégration rapide de solutions d’IA dans les entreprises a souvent précédé la réflexion sur les risques associés.

Dans cette perspective, l’IA agit davantage comme un révélateur des faiblesses existantes que comme une rupture totale. Les organisations qui peinent déjà à inventorier leurs comptes de service auront encore plus de difficultés à gouverner des milliers d’agents autonomes.

FABIEN MIQUET / PHOTO : DAVID MARMIER

Conclusion

La question de savoir si l’identité est la nouvelle frontière de la cybersécurité appelle aujourd’hui une réponse largement affirmative. En effet, la disparition du périmètre réseau traditionnel, la généralisation du cloud et l’explosion des identités non humaines déplacent le centre de gravité de la sécurité vers la gestion des accès et des privilèges. L’identité n’est plus seulement un objet administratif ; elle constitue désormais l’un des principaux vecteurs du risque cyber.

Les échanges de la Table Ronde des Experts convergent vers une idée centrale : la cybersécurité de demain reposera moins sur la capacité à protéger un réseau fermé que sur la capacité à gouverner un écosystème complexe d’identités. Dans ce contexte, la question n’est plus de savoir si les organisations doivent investir dans la gouvernance des identités, mais à quelle vitesse elles pourront le faire avant qu’une compromission ne transforme cette dette de sécurité en incident majeur.

Mark Elian
Journaliste RISKINTEL MEDIA
Restez connectés aux idées qui comptent
Recevez nos émissions en avant-première, accédez aux coulisses des débats, et rejoignez les professionnels qui façonnent l’écosystème Cyber, Tech et Défense.
S’inscrire à la newsletter
Flèche violette pointant vers le coin supérieur droit.
Logo Riskintel Media.Logo du Risk Summit avec un bouclier bleu et rouge à gauche du texte.
NOUS SUIVRE
Logo LinkedInIcône de l’application Instagram avec un motif d’appareil photo simple dans un carré aux coins arrondis.
Entrez en relation avec Riskintel
* Champs obligatoires
Merci ! Votre message a bien été envoyé !
Oups ! Une erreur est survenue, veuillez réessayer.
Mentions Légales
Site réalisé par ICONOKOM : Agence Webflow Lille & Paris