3 juillet 2026

Une sécurité qui s'adapte à l'identité

Série « Infrastructure »
| Partie
4

Temps de lecture :

7 min

Les contrôles d'accès dans un tableur, ce ne sont pas vraiment des contrôles d'accès. Comment mettre en place une architecture de sécurité qui suit l'utilisateur partout où il va.

Auteur

Dimitri Phalen est le responsable marketing chez ISM préfère le langage simple aux grandes promesses. Depuis des années, il bosse en coulisses pour transformer des problèmes informatiques compliqués et confus en solutions concrètes que les équipes peuvent vraiment utiliser. Si un texte donne l'impression d'avoir été écrit par quelqu'un qui n'a pas bu assez de café et qui est resté assis trop près de l'équipe de développement pendant trop longtemps, c'est sûrement de sa faute.

La plupart des programmes de sécurité continuent de parler comme si Internet était bien élevé.

Comme si les problèmes arrivaient dans de jolis petits paquets avec « malware » écrit sur l'étiquette, un peu comme un colis suspect laissé sur le pas de la porte. En réalité, beaucoup d'incidents aujourd'hui commencent par quelqu'un qui se connecte, qui a l'air tout à fait normal et qui fait une toute petite chose qu'il ne devrait pas faire, puis une autre, puis encore une autre, jusqu'à ce que tu te retrouves soudain dans une pièce pleine de gens qui se demandent : « Mais comment ont-ils pu aller aussi loin ? »

Voilà la vérité, même si elle est agaçante : le périmètre n'a pas disparu, mais ce n'est plus ça qui compte. Ce qui compte, c'est l'identité.

Si tu prends encore la plupart de tes décisions d'accès une fois que le trafic a déjà commencé, c'est comme si tu jouais en défense sur une glace rugueuse avec des patins émoussés. Tu arriveras peut-être à rester debout, mais tu finiras par encaisser un but.

Le problème que personne ne veut admettre

La plupart des environnements ne peuvent pas répondre clairement à ces questions sans qu'on doive se lancer dans une chasse au trésor :

  • Mais qui est-ce, au juste ?
  • Sur quel appareil sont-ils ?
  • Est-ce qu'on devrait les laisser faire ça en ce moment ?
  • Si ça tourne mal, est-ce qu'on s'en rendra compte assez vite pour que ça ait de l'importance ?

Quand ces réponses sont floues, la sécurité se transforme en un jeu consistant à « repérer l'élément bizarre dans une mer de normalité ». Le cerveau humain n'est pas fait pour ça. Il est fait pour repérer les ours, pas pour analyser dix mille événements d'authentification avant le déjeuner.

En plus, Gary va finir par cliquer sur quelque chose. Pas parce qu’il est imprudent, mais parce qu’il est humain et que l’e-mail de hameçonnage ressemblait à une mise à jour de sa fiche de paie. Gary a un crédit immobilier et il a la tête à un projet. Prépare-toi en conséquence.

Pourquoi l'ancien modèle ne cesse de te décevoir ?

Les contrôles classiques, ça compte toujours. Les pare-feu, ça compte toujours. Les terminaux, ça compte toujours. La journalisation, ça compte toujours.

Mais le type de problème qu'on voit sans arrêt, c'est ça :

1) un pirate met la main sur des identifiants valides, une session ou un jeton
2) il agit vite, car il peut
3) les défenseurs sont plus lents, car l'environnement doit d'abord être analysé avant de pouvoir agir

Le rapport 2026 de l'Unit 42 sur la gestion des incidents à l'échelle mondiale estime que le délai médian avant l'exfiltration est d'environ deux jours. [source] Dans le quart des incidents les plus rapides, l'exfiltration a eu lieu en seulement 72 minutes. Ça représente une accélération multipliée par quatre en l'espace d'une seule année. Deux jours, c'est pas beaucoup de temps pour un modèle d'intervention basé sur des comités, et 72 minutes, c'est pas beaucoup de temps pour quoi que ce soit.

Ce même rapport a révélé que les failles liées à l'identité jouaient un rôle significatif dans près de 90 % des enquêtes, 65 % des accès initiaux étant liés à l'identité : identifiants volés, contournement de l'authentification multifactorielle (MFA), erreurs de configuration de la gestion des identités et des accès (IAM). C'est pour ça que la sécurité axée sur l'identité est importante. Pas juste comme un slogan, mais comme une contrainte opérationnelle : la rapidité fait désormais partie du modèle de menace, tu dois te démarquer.

C'est le rôle de responsable de la sécurité, pas celui de la liste des invités

Identity, ça devrait être le type qui fait respecter la loi et qui a toujours la dent dure, pas celui qui est assis dans un bureau avec son bloc-notes.

Ça veut dire que les décisions d’accès sont prises avant que le trafic ne soit acheminé, et pas après qu’un élément ait semblé suspect. Microsoft Entra ID s’occupe de la majeure partie de ça. Si tu utilises Okta, Ping ou Duo, le principe est le même. Ça veut aussi dire que l’identité, ce n’est pas juste un « nom d’utilisateur et un mot de passe », c’est aussi le contexte : l’état et la posture de l’appareil, la localisation et les signaux de risque, le niveau de privilège et l’intention, ce que l’utilisateur fait d’habitude, et ce qu’il est en train de faire à ce moment-là.

Si ça te semble être du boulot, c'est bien le cas. L'alternative, c'est de considérer chaque connexion comme fiable jusqu'à preuve du contraire, jusqu'à ce que ça te ruine le trimestre. C'est aussi là que les plateformes SASE et SSE montrent toute leur utilité. Fortinet, Palo Alto, Cisco… choisis celle qui te convient le mieux : l'important, c'est d'avoir une politique cohérente et des preuves solides, pas de savoir quel logo s'attribue le mérite. Et oui, c'est comme ça que tu évites de revivre le même cauchemar à chaque fois que Gary clique sur quelque chose.

Ce qui marche vraiment, dans la vie de tous les jours

Fais de l'identité le plan de contrôle

Si l'identité est traitée comme un élément isolé, tu te retrouves avec des règles de sécurité qui ne sont pas adaptées à la façon dont les gens travaillent réellement. Construis ton modèle d'accès autour des signaux d'identité et applique-le de manière cohérente à l'ensemble des applications, des données et de l'infrastructure.

Arrête de laisser les « exceptions » devenir la norme

Les exceptions, ce n'est pas le diable. Elles ne sont dangereuses que quand elles ne disparaissent jamais. Dans la plupart des environnements, il y a au moins une exception d'accès qui existe parce que Gary en a eu besoin une fois, et après, personne n'a voulu se charger de la supprimer. Fais en sorte que les exceptions soient limitées dans le temps par défaut.

Réduire le bruit avant qu'il n'atteigne les gens

Si toutes les alertes semblent urgentes, aucune ne l’est vraiment. Le but, c’est d’avoir moins de signaux fiables et d’agir plus vite, pas d’avoir un tableau de bord encore plus chargé. Defender XDR de Microsoft intègre une fonctionnalité de neutralisation automatique des attaques, conçue pour contenir les attaques en cours et faire gagner du temps aux équipes de sécurité. [source] C’est la bonne voie à suivre : réduire rapidement l’ampleur des dégâts, puis laisser les humains se charger de l’évaluation.

Adapter la réponse à la réalité opérationnelle

Une intervention ne peut pas marcher si on compte sur les gens pour se souvenir des étapes sous pression. Les guides d'intervention doivent être faciles à suivre et cohérents, pas un savoir « tribal » transmis comme une recette de famille.

Ce qui compte vraiment du côté canadien

La réalité en matière de sécurité au Canada comporte quelques aspects supplémentaires : les attentes en matière de résidence, les obligations réglementaires et la nécessité pratique de faire en sorte que la responsabilité reste au niveau local quand les choses tournent mal.

Kyndryl a mis en place un centre d'opérations de sécurité à Barrie, en Ontario, qui repose sur Microsoft Azure, s'intègre à des outils comme Microsoft Sentinel et utilise Microsoft Defender pour une protection avancée contre les menaces. [source] C'est important parce que c'est concret, pas théorique : une vraie capacité, au Canada, conçue pour transformer les signaux liés aux identités et aux appareils en actions concrètes, et pas juste un énième rapport hebdomadaire.

Le but, c'est pas de dire « tiens, un bâtiment ». C'est une question de fonctionnement :

  • ces équipes opèrent dans le même cadre réglementaire que toi
  • La gestion des escalades et des interventions est plus simple quand tu n'as pas à composer avec les décalages horaires et les relais
  • Les exigences en matière de localisation des données ne sont pas un détail mineur, elles font partie intégrante de la conception

Le rôle ISMdans cette histoire, c’est la mise en œuvre et l’architecture. L’échelle mondiale et les outils ont leur importance quand le parc applicatif est vaste et désorganisé, mais le succès de la mise en œuvre au quotidien dépend toujours de l’exécution sur le terrain, d’une prise en charge technique stable et de personnes capables de s’adapter à tes contraintes réelles sans transformer ça en une série d’ateliers de trois semaines.

Par quoi commencer ?

Fais l'inventaire de ce que tu as. Recense les identités, les privilèges, les chemins d'accès et les systèmes sur lesquels ces règles sont réellement appliquées.

Intègre la protection de la vie privée dans ton travail quotidien. Les opérations de sécurité génèrent des données. Assure-toi que ces données soient soumises à des contrôles de conservation et d'accès.

Mettre en œuvre la gouvernance: transformer la politique d'accès en cycles de mise en application, de suivi et d'évaluation.

Sécuriser les données elles-mêmes. L'accès basé sur l'identité, c'est la base, mais les données ont aussi besoin de leurs propres mesures de contrôle : classification, chiffrement et surveillance.

Les failles de sécurité, c'est souvent des trucs banals. Pas comme dans les films avec des hackers. Ça pète parce qu'une exception est devenue permanente, qu'un chemin d'accès n'a jamais été revu, et que personne ne veut être celui ou celle qui perturbe le workflow « crucial » de Gary.

Si tu veux renforcer la sécurité sans transformer ton entreprise en un sous-sol fermé à clé, parle à ISM. On conçoit des architectures d’accès basées sur l’identité et de sécurité en périphérie qui fonctionnent vraiment dans des environnements complexes, puis on les gère avec des équipes canadiennes qui restent à tes côtés. Les outils peuvent être Fortinet SASE, les services de périmètre de sécurité Cisco, Cloudflare Zero Trust ou les modèles Palo Alto Prisma, mais la vraie valeur réside dans le modèle d’exploitation : moins d’angles morts, moins de « on s’en occupera plus tard », et plus d’éléments de preuve quand les questions commencent à fuser.

Tu veux savoir comment on fonctionne ?

Chaque conversation commence par ton environnement. Pas par notre liste de produits.

Contacte-nous
FlècheFlèche

Ce n'est pas une question de technologie ou de processus. Ce qui compte, ce sont tes clients, tes utilisateurs et la confiance que tu as su gagner à la sueur de ton front. Toutes nos équipes gardent ça à l'esprit.

Appel à l'action sur mobile