Identity Dark Matter : Définition, Risques et Stratégies de Mitigation en 2025

Lysandre Beauchêne

L’explosion des identités non gérées menace la cybersécurité des entreprises françaises. La gestion des identités et des accès (IAM) a longtemps été considérée comme un pilier central de la sécurité informatique, reposant sur des annuaires LDAP ou des portails IAM unifiés. Cependant, avec la transformation numérique et l’adoption massive du cloud, ce paradume s’est effondré. Aujourd’hui, l’identité est partout : dans les SaaS, sur les infrastructures IaaS/PaaS, dans les applications internes et les environnements shadow IT.

Ce phénomène a donné naissance à un concept critique en 2025 : l’identity dark matter (la matière sombre des identités). Il s’agit de cette partie invisible de l’univers des identités que les outils traditionnels ne parviennent pas à cartographier ni à contrôler. Selon les dernières analyses de sécurité, près de la moitié des identités d’une entreprise échappent à la gouvernance classique, créant des zones aveugles propices aux cyberattaques.

La nature fragmentée de l’identité moderne

L’identité n’est plus unifiée. Elle est intrinsèquement distribuée. Chaque environnement, qu’il soit SaaS ou on-premise, possède ses propres mécanismes d’authentification, de comptes et de permissions. Les outils IAM et IGA (Identity Governance and Administration) classiques ne gouvernent que la partie émergée de l’iceberg : les utilisateurs et applications entièrement intégrés, onboardingés et mappés.

Tout le reste reste dans l’ombre. C’est ce qu’on appelle la matière sombre des identités : ce vaste réservoir d’entités non vérifiées, non humaines et non protégées. Chaque nouvelle application ou modernisation exige un onboarding complexe (connecteurs, mappage de schéma, catalogues d’entités). Le coût et le temps requis sont tels que de nombreuses applications ne franchissent jamais cette étape. Résultat : une fragmentation massive où des identités et des permissions opèrent en dehors de toute gouvernance d’entreprise.

Au-delà de la couche humaine : le défi des identités non humaines (NHI)

Un défi encore plus grand se cache derrière les utilisateurs humains : les identités non humaines (NHI). Ces entités incluent les API, les bots, les comptes de service et les processus d’agents IA. Elles authentifient, communiquent et agissent sur l’infrastructure.

Pourtant, elles sont souvent introuvables. Créées dans la précipitation d’un déploiement puis oubliées, elles manquent de propriétaire, de supervision et de cycle de vie, même au sein des applications pourtant gérées. Ces entités non gouvernées constituent la couche la plus profonde et la plus invisible de la matière sombre, une catégorie que les outils IAM traditionnels n’ont jamais été conçus pour gérer.

Les composants de la matière sombre des identités

À mesure que les organisations modernisent, le paysage des identités se fragmente en plusieurs catégories à haut risque qui doivent être identifiées dès 2025.

  1. Applications Shadow (Ombre) : Ces applications opèrent en dehors de la gouvernance d’entreprise simplement parce que le coût et la complexité de l’onboarding traditionnel sont prohibitifs. Les employés les adoptent pour gagner en productivité, créant des fuites de données potentielles, comme le montrent les attaques via plateformes sociales comme TikTok qui exploitent ces zones d’ombre.
  2. Identités Non Humaines (NHIs) : La couche s’expansionnant le plus vite. API, services et bots agissent sans surveillance.
  3. Comptes Orphelins et Périmés : Une plaie ouverte pour la sécurité. Selon des statistiques récentes, 44 % des organisations déclarent posséder plus de 1 000 comptes orphelins, et 26 % de tous les comptes sont considérés comme périmés (inutilisés depuis plus de 90 jours).
  4. Entités Agent-IA : Avec l’essor de l’IA générative, des agents autonomes effectuent des tâches et accordent des accès de manière indépendante, brisant les modèles d’identité classiques basés sur l’humain.

Pourquoi est-ce une crise de sécurité ?

La croissance de ces entités non gouvernées crée des “blind spots” (zones aveugles) où les risques cyber prospèrent. En 2024, 27 % des violations cloud ont impliqué la mauvaise utilisation de credentials dormants, y compris les comptes orphelins et locaux.

Les risques principaux sont multiples :

  • Abus de credentials : 22 % de toutes les violations sont attribuées à l’exploitation de credentials valides mais mal contrôlés.
  • Lacunes de visibilité : On ne peut pas sécuriser ce que l’on ne voit pas. Les entreprises vivent souvent dans une “illusion de contrôle”, notamment face à des techniques d’ingénierie sociale sophistiquées comme les faux écrans BSOD.
  • Échecs de conformité et de réponse : Les identités non gérées échappent aux audits et ralentissent les temps d’intervention en cas d’incident.
  • Menaces cachées : La matière sombre masque le mouvement latéral, les menaces internes et les escalades de privilèges, souvent initiées par des vecteurs d’attaque modernes sur les réseaux sociaux.

Vers l’observabilité des identités : une nouvelle approche

Pour éliminer la matière sombre des identités, les organisations doivent opérer un changement de paradigme : passer d’une IAM basée sur la configuration à une gouvernance basée sur les preuves (evidence-based governance). Cela passe par l’Observabilité des Identités.

Contrairement à la surveillance classique, l’observabilité offre une visibilité continue et profonde à travers chaque identité, qu’elle soit humaine ou machine. Selon les experts du secteur, la résilience cyber future repose sur une approche à trois piliers :

  1. Tout voir (See Everything) : Collecter la télémétrie directement depuis chaque application, plutôt que de dépendre uniquement des connecteurs IAM standards.
  2. Tout prouver (Prove Everything) : Construire des pistes d’audit unifiées qui démontrent qui a accédé à quoi, quand et pourquoi.
  3. Tout gouverner (Govern Everywhere) : Étendre les contrôles au-delà des applications gérées pour inclure les environnements shadow et les agents IA.

En unifiant la télémétrie, l’audit et l’orchestration, les entreprises transforment cette obscurité en vérité actionnable.

Les risques financiers et opérationnels cachés

Au-delà de l’aspect purement sécuritaire, la matière sombre des identités a un coût économique direct. En France, où le RGPD impose des sanctions lourdes pour les fuites de données, chaque identité non gérée est une responsabilité potentielle.

En pratique, nous observons que les équipes de sécurité passent des heures à investiguer des alertes liées à des comptes qui n’auraient jamais dû exister. C’est une perte de productivité majeure. De plus, la prolifération des accès privilégiés sans supervision augmente la surface d’attaque de manière exponentielle. Si un attaquant compromet un seul compte de service oublié, il peut souvent pivoter silencieusement vers des systèmes critiques.

L’impact sur la conformité RGPD et NIS 2

La réglementation européenne devient de plus en plus stricte. Le règlement NIS 2, applicable en 2025, exige une gestion rigoureuse des actifs informatiques. Les auditeurs ne se contentent plus de rapports générés par l’IAM classique. Ils demandent des preuves tangibles de la couverture de tous les comptes, y compris les comptes de service. Une organisation incapable de lister ses identités non humaines risque non seulement des amendes, mais aussi une suspension d’activité administrative en cas d’incident grave.

Étapes actionnables pour maîtriser la matière sombre

Il est temps d’agir. Voici une feuille de route concrète pour les DSI et RSSI en 2025.

1. Cartographie et découverte continue

Arrêtez de faire confiance uniquement à votre annuaire central. Utilisez des outils de découverte capable de scanner l’ensemble de votre écosystème (SaaS, IaaS, on-prem) pour identifier les comptes fantômes et les API exposées.

2. Inventaire des identités non humaines (NHI)

Lancez un projet dédié aux NHI. Identifiez les comptes de service, les clés API et les tokens d’accès. Mettez en place un cycle de vie strict : rotation automatique des secrets et révocation immédiate à la fin d’un projet.

3. Automatisation de l’onboarding Shadow IT

Pour combattre les applications shadow, il faut réduire le temps d’onboarding. Adoptez des solutions qui automatisent la connectivité et la gestion des identités pour les applications non standards.

4. Mise en place de l’Observabilité

Déployez une solution capable de fournir une vue unifiée. L’objectif est de passer d’une gestion statique (“j’ai configuré cet accès”) à une gestion dynamique (“je prouve que cet accès est toujours valide et justifié”).

Exemple concret : Le cas d’une Fintech Française

Imaginons une Fintech parisienne utilisant une multitude de microservices. L’équipe de développement a créé des comptes de service pour chaque microservice pour qu’ils communiquent entre eux. Cependant, lors d’une refonte, certains services ont été dépréciés, mais les comptes de service associés n’ont jamais été supprimés.

Ces comptes, restés actifs avec des privilèges élevés, forment de la matière sombre. Un attaquant qui compromettrait une ancienne machine virtuelle pourrait utiliser ces credentials pour accéder aux bases de données de production. Avec une approche d’observabilité, ces comptes orphelins seraient immédiatement détectés comme “inactifs” ou “sans propriétaire”, et une alerte serait levée pour suppression ou réduction de privilèges.

Tableau comparatif : IAM Traditionnel vs Observabilité des Identités

Pour clarifier les différences d’approche, voici une comparaison des paradigmes.

CritèreIAM / IGA TraditionnelObservabilité des Identités
PérimètreApplications onboardingées uniquementTous les environnements (SaaS, Shadow, On-prem)
Type d’identitésPrincipalement humainesHumaines + Non-humaines (API, Bots, IA)
VisibilitéBasée sur les connecteursBasée sur la télémétrie directe
GouvernanceStatique (Configuration)Dynamique (Preuve continue)
Réponse aux incidentsLente (recherche manuelle)Rapide (corrélation automatique)

“La sécurité des identités ne consiste plus à gérer des annuaires, mais à comprendre le comportement de millions d’entités interconnectées.”

L’apport de l’IA et des agents autonomes

L’arrivée des agents IA modifie la donne. Ces agents ne se contentent pas d’exécuter des tâches ; ils prennent des décisions et accordent des accès. Dans ce contexte, la “matière sombre” peut devenir “active” : des agents créent des sous-comptes, des tokens temporaires, qui peuvent rapidement échapper au contrôle humain.

Pour contrôler cela, il faut intégrer l’IA dans la boucle de sécurité, non pas seulement comme une menace, mais comme un outil d’analyse. L’IA peut analyser des milliards de logs pour détecter des anomalies comportementales que l’œil humain ne verrait jamais.

Conclusion : Transformer l’invisible en force défensive

La matière sombre des identités n’est pas une fatalité. C’est le symptôme d’une infrastructure qui a évolué plus vite que les outils de gouvernance. En 2025, la priorité absolue pour les entreprises françaises est de restaurer la visibilité.

En passant d’une approche de configuration rigide à une gouvernance basée sur l’observabilité et les preuves, vous ne réduisez pas seulement les risques de violation. Vous accélérez la transformation numérique en sécurisant le Shadow IT et en permettant une adoption agile des nouvelles technologies.

Prochaine étape : L’audit de vos identités non humaines. Ne laissez pas vos API et comptes de service devenir la porte d’entrée de vos adversaires. Demandez la démonstration d’une solution d’observabilité capable de cartographier votre réalité, pas seulement votre documentation.