HID 2026 : l'identité, pilier essentiel de la cybersécurité NIS2
HID 2026 : l'identité, pilier essentiel de la cybersécurité NIS2
La transformation de la gestion des identités à l'heure de NIS2
La directive NIS2 redessine la place de l'identité dans la cybersécurité: elle n'est plus seulement une porte d'entrée, mais un élément central de résilience opérationnelle. Pour les organisations concernées, cela signifie repenser pratiques et responsabilités autour de l'authentification, de la gouvernance des accès et du suivi des fournisseurs, afin de répondre à des obligations réglementaires renforcées et à des menaces qui se complexifient rapidement.
Origines et historique
La gestion des identités existe depuis les débuts des systèmes informatiques, mais son périmètre s'est considérablement étendu. Autrefois centrée sur des comptes locaux et des annuaires internes, elle intègre désormais des identités cloud, des API, des identités machines et des usages nomades. L'adoption massive du SaaS et des accès à distance a élargi la surface d'attaque et rendu visibles des failles longtemps tolérées.
La directive NIS2 (Directive (UE) 2022/2555) a élargi le périmètre des entités soumises à des obligations de gestion des risques, de notification d'incidents et de gouvernance des fournisseurs, ce qui accélère la mise en conformité des projets IAM et des initiatives Zero Trust au sein des entreprises et administrations². Parallèlement, le rapport HID 2026 met en avant la nécessité d'une approche unifiée entre identité physique (badges, contrôle d'accès) et identité numérique, soulignant que la cohérence entre ces domaines est devenue critique¹.
Évolution réglementaire et pression du marché
NIS2 oblige les responsables à inscrire la gestion des identités et des accès au cœur de leur gouvernance cyber: inventaires des services critiques, traçabilité des authentifications, et exigences contractuelles sur les fournisseurs tiers font désormais partie des attentes réglementaires². Les assureurs et les audits de conformité demandent des preuves opérationnelles, notamment la mise en place du MFA, des stratégies de gestion des risques liées aux accès et des revues régulières des droits. Les incidents médiatisés d'usurpation de comptes ont renforcé l'urgence d'adopter à la fois des mesures techniques robustes et des processus organisationnels clairs¹. Récemment, des menaces supplémentaires ont émergé, comme le kit d'exploit DarkSword, qui cible les iPhone sous iOS 18 pour dérober des données sensibles via des sites infectés. Les experts recommandent de mettre à jour vers iOS 26 sans délai pour se protéger contre cette vulnérabilité.
Fonctionnement technique
La « convergence des identités » couvre plusieurs domaines techniques complémentaires: fédération d'identité, IAM (Identity and Access Management), PAM (Privileged Access Management) et CIAM (Customer Identity and Access Management). Connaître ces briques permet de prioriser les chantiers selon le risque et la criticité.
Protocoles et flux
- OAuth2 / OIDC: largement utilisés pour la gestion des API et des applications web; une mauvaise configuration peut provoquer la fuite ou la réutilisation de tokens.
- SAML: présent dans de nombreux SSO d'entreprise; les problèmes tiennent souvent aux assertions ou signatures mal maniées.
- SCIM: standard pour le provisioning d'identités entre systèmes; une implémentation laxiste entraîne des comptes surprovisionnés ou non révoqués.
- FIDO2 / WebAuthn: offre une voie vers le passwordless et réduit fortement l'impact du phishing lorsque déployé sur les comptes sensibles³.
Vecteurs d'attaque liés à l'identité
- Phishing et capture d'identifiants: attaque des sessions et des tokens, souvent via des pages frauduleuses.
- Credential stuffing: réutilisation d'identifiants compromis sur plusieurs services, surtout sans MFA.
- Attaques contre le MFA: techniques de sollicitation répétée (fatigue) ou d'ingénierie sociale visant à contourner les approbations.
- Abus de comptes privilégiés: exploitation de comptes administrateurs ou de service insuffisamment contrôlés.
- Compromission de fournisseurs tiers: connecteurs SSO ou SCIM mal conçus peuvent devenir des vecteurs d'entrée. De plus, de nouvelles menaces comme DarkSword exploitent des vulnérabilités sur les iPhones, ce qui incite à revoir les mesures de sécurité sur tous les dispositifs.
Mesures techniques prioritaires
- Déployer un MFA adaptatif généralisé; pour les comptes à haut risque, privilégier FIDO2 et les clés matérielles³.
- Segmenter les identités: différencier clairement les comptes utilisateurs, machines et services, et appliquer des durées de vie strictes pour les tokens et clés.
- Mettre en place ou renforcer un PAM pour les comptes privilégiés, avec enregistrement des sessions et revue périodique des accès.
- Centraliser la gestion des secrets et automatiser la rotation; privilégier les certificats courts pour l'authentification machine-à-machine.
- Activer la surveillance comportementale des authentifications (UEBA) pour repérer des anomalies comme des connexions depuis des lieux inhabituellement éloignés ou des usages horaires atypiques.
Études de cas
Compromission via un fournisseur SSO
Un fournisseur SSO tiers subit une fuite de secrets d'intégration et des tokens long durée. Plusieurs clients constatent des sessions compromises et des escalades de privilèges internes. Les entreprises impactées révoquent rapidement les clés exposées, migrent vers des certificats rotatifs et renforcent leurs règles OIDC (scopes limités, tokens à durée réduite). Elles imposent aussi le MFA FIDO2 pour les comptes administrateurs¹².
Campagne de fatigue MFA contre une institution financière
Une institution reçoit un volume élevé de notifications push MFA, poussant certains employés à approuver sans vérifier. L'absence d'authentification contextuelle a facilité l'intrusion. Les mesures correctrices comprennent l'interdiction des OTP SMS, l'adoption d'authentificateurs matériels et la mise en place de seuils et de règles contextuelles pour les approbations à risque.
Convergence physique-numérique
Une organisation gérant badges physiques et comptes Active Directory chez un même fournisseur voit une compromission se propager en raison d'un provisioning centralisé et sans séparation des privilèges. La remédiation porte sur le découplage des pipelines de provisioning, la mise en place d'audits trimestriels et des contrôles de séparation des rôles pour éviter la création non contrôlée de comptes.
Perspectives et priorités opérationnelles
Sur 24 à 36 mois, plusieurs tendances devraient s'accélérer: adoption plus large du passwordless (FIDO2) pour limiter le phishing³; formalisation des processus d'audit d'identités et des revues d'accès sous la pression de NIS2 et des assureurs²; renforcement des exigences sur les fournisseurs tiers; et migration vers des architectures Zero Trust avec vérification contextuelle et authentification continue.
La gestion des identités machines évolue aussi: l'utilisation de certificats à courte durée de vie réduit la dépendance aux secrets statiques et limite la fenêtre d'exposition en cas de compromission. L'intelligence artificielle joue un double rôle: elle renforce la détection d'anomalies tout en introduisant le risque d'automatisation d'attaques d'ingénierie sociale.
Pour les responsables sécurité, les priorités opérationnelles claires sont: réduire l'impact d'une identité compromise par une granularité fine des droits et une segmentation renforcée; assurer une visibilité centralisée des sessions et des authentifications; cataloguer les identités critiques et maintenir des playbooks adaptés aux scénarios de compromission.
