Security
10 min read
948 views

Banqueroute de l'Identité Machine : La Crise d'Identité Dont Personne Ne Parle

IT
InstaTunnel Team
Published by our engineering team
Banqueroute de l'Identité Machine : La Crise d'Identité Dont Personne Ne Parle

Dans le paysage numérique de 2026, une révolution silencieuse a atteint son point de rupture. Depuis des décennies, la cybersécurité était une discipline centrée sur l’humain. Nous nous concentrions sur l’authentification multi-facteurs (MFA), la complexité des mots de passe et le comportement des utilisateurs. Mais pendant que nous surveillions la porte d’entrée, une armée silencieuse de bots, comptes de service et agents IA s’est infiltrée par les ventilations.

Aujourd’hui, les statistiques sont stupéfiantes. Selon le rapport Risque NHI & Secrets d’Entro Security, les identités non humaines dépassent désormais le nombre d’employés humains avec un ratio de 144 pour 1 — une hausse de 56 % par rapport au ratio de 92:1 enregistré au premier semestre 2024. Le rapport Outlook de ManageEngine sur la sécurité des identités 2026 indique que près de la moitié des organisations sondées rapportent des ratios machine/humain supérieurs à 100:1, certains secteurs atteignant 500:1.

Cette explosion a conduit à un état de Banqueroute de l’Identité — un seuil critique où la prolifération des identités devient si complexe qu’il est mathématiquement et opérationnellement impossible de les auditer, de les gérer ou de les sécuriser. Dans cet article, nous explorons les mécanismes de cette crise, le danger du “IAM indulgent” et pourquoi vos comptes machine sont désormais les cibles principales pour le mouvement latéral.

La Grande Inversion : Pourquoi les Machines Ont Gagné le Jeu des Nombres

Pour comprendre la Banqueroute de l’Identité, il faut d’abord comprendre comment nous en sommes arrivés là. En 2020, le ratio moyen machine/humain était d’environ 5:1. Au premier semestre 2024, il avait grimpé à 92:1. Les données d’Entro Security de mi-2025 le placent à 144:1, sans signe de ralentissement. Cette croissance annuelle de 44 % des NHIs est principalement alimentée par trois catalyseurs.

L’Explosion des Microservices. Une seule application monolithique disposait d’une seule identité. Aujourd’hui, cette même application est décomposée en dizaines de microservices, chacun nécessitant sa propre identité pour communiquer avec des bases de données, caches et autres services. Un pipeline de déploiement peut créer plus d’identités machine en 20 minutes que le nombre total d’utilisateurs humains d’une entreprise.

L’Ascension de l’IA Agentique. Nous n’utilisons plus seulement l’IA — nous déployons des agents IA. Ces agents effectuent des tâches de façon autonome : réserver des voyages, gérer l’infrastructure cloud, trier du code, extraire des dossiers clients de Salesforce, valider des dépôts. Microsoft Copilot a accès à votre SharePoint. GitHub Copilot peut valider dans vos dépôts. Chaque agent nécessite un ensemble d’autorisations — tokens, clés API — qui agissent comme son identifiant numérique. Le rapport sur le paysage de la sécurité des identités 2025 de CyberArk indique que 68 % des organisations manquent de contrôles de sécurité d’identité spécifiquement pour l’IA, et l’IA devrait générer le plus grand nombre de nouvelles identités avec accès privilégié et sensible en 2025.

L’Infrastructure Éphémère. Dans un monde cloud-native, les serveurs vivent quelques minutes, pas des mois. Chaque fois qu’un pod Kubernetes se lance lors de l’auto-scaling, une nouvelle identité naît. Chaque workflow GitHub Actions génère des tokens. Chaque exécution Terraform crée des principaux de service.

L’Anatomie d’une Identité Machine

Contrairement à un utilisateur humain, une identité machine — souvent appelée Non-Human Identity (NHI) — n’a pas de visage, de localisation physique ou d’horaire prévisible de 9 à 17 heures. Elle se compose de :

  • Secrets : clés API, tokens OAuth, clés SSH.
  • Certificats : certificats TLS/SSL utilisés pour la communication chiffrée.
  • Principaux de Service : identités natives du cloud utilisées par des applications pour accéder à des ressources comme AWS S3 ou Azure Key Vault.

Ces identités persistent indéfiniment sauf si explicitement révoquées. Contrairement aux employés, elles ne disposent pas de déclencheurs de cycle de vie naturels — pas de démission, pas de retraite, pas de processus de départ RH. La recherche d’Entro a révélé que près de la moitié des NHIs ont plus d’un an, et 7,5 % ont entre cinq et dix ans. Une identité sur mille a plus d’une décennie, dépassant souvent les développeurs qui l’ont créée.

Définir la “Banqueroute de l’Identité”

La Banqueroute de l’Identité est le point de non-retour pour une équipe de sécurité. Elle survient lorsque le volume d’identités et la complexité de leurs permissions dépassent la capacité de l’organisation à les vérifier.

Lorsque cette limite est atteinte :

L’auditabilité est perdue. Demandez “Qui a accès à notre base de données client ?” et la réponse est une liste de centaines d’utilisateurs humains et de dizaines de milliers de comptes de service. Vous pouvez auditer les humains. Vous ne pouvez pas auditer manuellement les bots.

La visibilité est fragmentée. Les identités existent dans des silos — AWS, Azure, GitHub, Salesforce, clusters Kubernetes internes — sans source unique de vérité. Le rapport de ManageEngine 2026 indique que 70 % des répondants considèrent que les silos d’identités sont une cause fondamentale du risque cybernétique organisationnel.

La gouvernance est contournée. Les développeurs, sous pression pour livrer du code, créent des comptes de service “temporaires” avec des droits Admin qui ne sont jamais supprimés. La recherche de Veza a mesuré plus de 230 milliards d’autorisations dans des ensembles de données d’entreprise, créant des angles morts persistants. Les permissions classées comme sûres et conformes sont passées de 70 % en 2024 à seulement 55 % en 2025, avec une augmentation des permissions non gouvernées de 5 % à 28 %.

La concentration des privilèges est catastrophique. Les données d’Entro révèlent que seulement 0,01 % des identités machine — environ 2 188 comptes dans leur jeu de données — contrôlent 80 % des ressources cloud. Compromettre l’un de ces comptes donne à un attaquant le contrôle effectif de tout l’environnement.

“Lorsque les identités non humaines dépassent en nombre les humains de plusieurs ordres de grandeur, les approches traditionnelles de gouvernance s’effondrent. Les organisations doivent repenser fondamentalement la gestion et la sécurisation de ces identités avant que l’échelle devienne totalement ingérable.” — Ramanathan Kannabiran, Directeur de la gestion des produits, ManageEngine

Le Piège du “Lenient IAM” : Le Terrain de Jeu de l’Attaquant

Le produit le plus dangereux de cette crise est le Lenient IAM — pratiques de gestion des identités et des accès qui sacrifient la sécurité pour la disponibilité.

Les machines ne se plaignent pas lorsqu’elles ne peuvent pas accéder à un fichier ; elles cassent tout le pipeline de déploiement. Pour éviter les erreurs “permission refusée” qui bloquent la production, beaucoup d’organisations privilégient la sur-autorisation. Le rapport sur l’état des NHIs 2025 d’Entro Security indique que 97 % des NHIs ont des privilèges excessifs — un standard presque universellement défectueux.

Le contraste entre la façon dont les organisations traitent les identités humaines et machine est frappant :

Fonctionnalité Identité Humaine Identité Machine (NHI)
Permissions Typiques Restreintes (Moindre Privilège) Étendues (Souvent ‘Propriétaire’ ou ‘Admin’)
Authentification MFA / Biométrie Secrets Statiques / Tokens
Cycle de Vie Intégré/Sorti par RH Créé par script / Souvent orphelin
Surveillance Élevée (UEBA / Suivi comportemental) Faible (souvent ignorée dans les logs)
Rotation Mises à jour régulières 71 % non rotatés dans les délais recommandés

Les attaquants ont compris qu’il est difficile de compromettre un utilisateur humain protégé par MFA. Mais un compte de service est une mine d’or — toujours actif, souvent sur-privilegié, et rarement examiné.

L’ampleur de l’Exposition des Secrets

Le problème ne réside pas seulement dans l’existence des identités machine — c’est dans la gestion de leurs identifiants à grande échelle.

La recherche d’Entro 2025 a révélé que 44 % de tous les tokens sont activement exposés dans la nature, circulant via des plateformes comme Microsoft Teams, tickets Jira, pages Confluence et commits de code. Alors que le code source reste la principale source de secrets exposés à 57 %, près de la moitié des secrets exposés apparaissent en dehors des dépôts de code : 26 % via les workflows CI/CD, et 14 % via des outils de collaboration et messagerie.

La compromission en mars 2025 de l’action GitHub tj-actions illustre parfaitement ce problème. Des attaquants ont utilisé un token d’accès personnel volé pour injecter du code malveillant qui a silencieusement exfiltré des secrets depuis les logs CI/CD dans plus de 23 000 dépôts. La cause principale était une identité machine non gérée et sous-surveillée.

Plus de 80 % des organisations ont subi un incident cybernétique dû à des identités machine compromises. Pourtant, les leçons ne sont pas appliquées assez rapidement.

La Chaîne de Mouvement Latéral

En 2026, la chaîne d’attaque a fondamentalement changé. Les attaquants n’ont plus besoin de phishing ciblant un CEO. Ils visent un développeur pour accéder à un pipeline CI/CD ou à un dépôt de code. Une fois à l’intérieur, ils recherchent des secrets machine.

Étape 1 : Découverte des Secrets. Des outils automatisés recherchent des clés API codées en dur dans le code, des variables d’environnement ou des magasins de secrets mal configurés. Avec 62 % de tous les secrets dupliqués et stockés en plusieurs endroits, les attaquants ont plusieurs opportunités de les trouver.

Étape 2 : Le Piratage du Bot. L’attaquant trouve un compte de service utilisé pour “la journalisation”. En raison du Lenient IAM, ce compte de journalisation dispose aussi d’un accès en lecture à un bucket S3 contenant des données sensibles clients — un exemple classique de dérive de privilèges que personne n’a jamais remarqué.

Étape 3 : Mouvement Latéral. En utilisant l’identité machine piratée, l’attaquant se déplace latéralement dans le réseau. Le trafic machine-machine est rarement examiné pour comportement anormal avec la même rigueur que le trafic humain, permettant exfiltration ou escalade de privilèges avec un risque de détection minimal.

Les conséquences réelles se mesurent désormais en centaines de millions de livres sterling. Les violations chez Jaguar Land Rover et Marks & Spencer en 2025 ont toutes deux débuté par des identités non humaines compromises dans des systèmes partenaires — comptes de service, clés API et tokens d’accès tiers qui n’ont jamais été correctement gouvernés, rotés ou surveillés. L’incident JLR a entraîné une coupure de production mondiale complète de plus de quatre semaines.

OWASP a pris note. Son Top 10 des Risques d’Identités Non-Humaines pour 2025 classe la mauvaise déprovisionnement comme le risque numéro un — reflétant le vide fondamental : les organisations n’ont aucun processus systématique pour déprovisionner les identités machine lorsque les services sont dépréciés ou les intégrations interrompues.

Au-Delà de la Sécurité Centrée sur l’Humain : Le Cadre 2026

Si la majorité de vos identités sont des machines, votre stratégie de sécurité doit en tenir compte. Il faut dépasser la mentalité “Utilisateur d’abord” et adopter la Gestion des Identités Machine (MIM) comme un pilier central du programme de sécurité.

1. Passage au Zero Standing Privileges (ZSP)

Les clés API statiques sont les mots de passe du monde machine, et elles doivent être abandonnées. Les organisations leaders adoptent des Identités Machine Just-in-Time (JIT) — un bot reçoit un token valable exactement 60 secondes pour effectuer sa tâche, après quoi le token expire automatiquement. Cela élimine la notion de crédentiel toujours actif qui peut être volé et réutilisé indéfiniment.

2. Analyse Comportementale des Machines

Tout comme les systèmes UEBA détectent un utilisateur humain qui se connecte soudainement depuis un pays étranger, nous devons suivre quand une identité machine commence à appeler des API qu’elle n’a jamais utilisées auparavant. Si un Service d’Impression demande des permissions de suppression de base de données, le système doit isoler cette identité immédiatement. Le rapport paysage de CyberArk 2025 confirme que la détection d’anomalies alimentée par l’IA est désormais un différenciateur critique pour la gestion de la prolifération des NHIs.

3. Gestion Implacable du Cycle de Vie

Le risque classé en tête par OWASP — la mauvaise déprovisionnement — est entièrement évitable. Chaque identité machine doit avoir un propriétaire humain assigné. Lorsque ce propriétaire quitte, l’identité doit être signalée pour révision. Des outils automatisés doivent effectuer des balayages continus pour identifier et mettre en quarantaine les comptes orphelins, en se concentrant d’abord sur ceux avec des permissions administratives ou génériques (*).

4. Automatisation de l’Inventaire des Identités

Vous ne pouvez pas sécuriser ce que vous ne voyez pas. La récupération de la Banqueroute de l’Identité commence par un inventaire automatisé sur trois phases :

  • Découvrir : Scanner tous les environnements cloud et locaux pour les NHIs, y compris les identités fantômes créées en dehors des processus officiels.
  • Classer : Déterminer ce que chaque identité fait, ce à quoi elle accède, et qui en est propriétaire.
  • Nettoyer : Supprimer les identités orphelines et appliquer des politiques de rotation. 71 % des NHIs ne sont actuellement pas rotatés dans les délais recommandés — ce chiffre doit tomber à zéro.

5. Déplacer les Secrets à Gauche — Mais Pas à Mi-Chemin

43 % de tous les secrets exposés apparaissent en dehors du code source. Intégrer la détection de secrets dans les pipelines CI/CD est la norme, mais les organisations doivent étendre cette couverture aux outils de collaboration, plateformes de messagerie, et partout où les développeurs partagent du contexte. Les tickets Jira, messages Slack et documents SharePoint fuient activement des identifiants.

Votre Organisation Est-Elle Déjà en Banqueroute ?

Examinez les indicateurs suivants pour évaluer votre niveau de risque actuel :

  • [ ] Avez-vous plus de comptes de service que d’employés ?
  • [ ] Plus de 10 % de vos clés API sont-elles permanentes (sans date d’expiration) ?
  • [ ] Pouvez-vous identifier le propriétaire humain de chaque principal de service dans votre cloud ?
  • [ ] La détection de secrets est-elle intégrée à votre pipeline de développement et à vos outils de collaboration ?
  • [ ] Le trafic machine-machine est-il inclus dans votre surveillance de sécurité et détection d’anomalies ?
  • [ ] Disposez-vous d’un processus formel de déprovisionnement pour les identités machine lorsque des projets se terminent ou que des développeurs quittent ?

Si vous avez répondu oui à trois ou plus de ces indicateurs de risque, vous opérez probablement en état de Banqueroute de l’Identité.

Conclusion

Les chiffres ne sont plus abstraits. Les identités machine dépassent en nombre les employés humains selon des ratios qui semblaient absurdes il y a cinq ans. Près de chaque NHI dans une entreprise moyenne détient des privilèges excessifs. Un petit nombre de comptes contrôle la majorité des ressources cloud. Des violations majeures à neuf chiffres sont désormais directement liées à des comptes de service non gérés et à des identifiants expirés que personne n’a pensé à faire tourner.

Le maillon faible de l’entreprise moderne n’est plus l’employé qui clique sur un lien de phishing. C’est le compte de service oublié, la clé API codée en dur, l’agent IA doté d’un accès admin sous deadline, et le token orphelin qui accumule silencieusement des accès depuis une décennie.

Pour survivre à la crise d’identité de 2026 et au-delà, les organisations doivent traiter les identités machine avec autant de rigueur — voire plus — que celles humaines. Les clés du royaume ne sont plus détenues par des personnes. Elles sont dispersées dans des milliers de lignes de code et pipelines automatisés. Il est temps de les reprendre.

Sources : CyberArk 2025 Identity Security Landscape ; Rapport Risque NHI & Secrets d’Entro Security H1 2025 ; Outlook de ManageEngine sur la sécurité des identités 2026 ; Rapport Permissions de Veza 2025 ; CSO Online ; OWASP Top 10 Risques d’Identités Non-Humaines (2025).

Related InstaTunnel pages

Continue from this article into the most relevant product guides and workflows.

Plans and limitsCompare Free, Pro, and Business limits for tunnels, MCP endpoints, bandwidth, and teams.Trust and security centerReview security controls, reliability practices, status references, and operational safeguards.InstaTunnel documentationRead setup steps, CLI commands, webhook guides, MCP usage, and troubleshooting workflows.Use-case playbooksBrowse practical workflows for webhooks, OAuth callbacks, MCP tunnels, and demo links.

Related Topics

#machine identity bankruptcy, machine identities, bot identity sprawl, service account sprawl, AI agent identities, non-human identities, NHI security, identity sprawl 2026, 82 to 1 identity ratio, IAM for machines, lenient IAM, overprivileged service accounts, cloud service accounts risk, API keys sprawl, token sprawl, secrets management failure, lateral movement via service accounts, cloud lateral movement, identity-based attacks, identity governance failure, identity audit failure, permission creep, privilege creep, over-permissioned bots, machine identity risk, workload identity security, Kubernetes service accounts risk, cloud IAM misconfiguration, AWS IAM service roles abuse, Azure managed identity abuse, GCP service account abuse, OAuth app overprivilege, SaaS bot identities, automation account abuse, CI/CD service account compromise, pipeline identity attack, machine-to-machine auth risk, identity supply chain attack, identity attack surface, zero trust identity for machines, identity lifecycle management, deprovisioning failure, orphaned accounts, shadow identities, identity visibility gap, IAM blind spots, security debt IAM, cloud identity security posture, identity governance and administration, IGA for machines, PAM for service accounts, secrets rotation failure, API token compromise, breach via machine identity, attackers target bots, human vs machine identity security, identity-centric security, breach path via service account, compliance identity gaps, SOC focus on users, bot accounts keys to kingdom, machine identity threat model, enterprise identity risk, identity sprawl crisis, secure machine identities, least privilege for bots, workload identity federation, identity hygiene, identity inventory, identity observability

Keep building with InstaTunnel

Read the docs for implementation details or compare plans before you ship.

Read DocumentationView Pricing

Share this article

Share on XShare on LinkedIn

More InstaTunnel Insights

Discover more tutorials, tips, and updates to help you build better with localhost tunneling.

Browse All Articles