Selon un rapport de Sophos, 71 % des organisations ont été victimes d’au moins une attaque liée aux identités en 2025, un chiffre alarmant.

Sophos, un leader mondial spécialisé en cybersécurité, publie ce mardi son rapport « State of Identity Security 2026 », une étude d’envergure menée auprès de 5 000 responsables informatiques et de la cybersécurité dans 17 pays. Le constat est sans appel : 71 % des organisations interrogées ont subi au moins une compromission liée à la gestion des identités au cours de l’année écoulée, avec une moyenne de trois incidents distincts par entreprise. Plus inquiétant encore, les attaques répétées sont en nette augmentation, 5 % des sondés déclarant avoir fait face à six incidents ou plus.

Des conséquences financières lourdes

L’usurpation d’identité n’est pas une menace isolée ; elle constitue un point d’entrée privilégié pour des attaques plus dévastatrices. L’étude révèle ainsi que deux tiers (67 %) des victimes de ransomwares ont vu l’incident découler d’une attaque initiale sur les identités. Les répercussions économiques sont considérables : le coût moyen de rétablissement après une telle attaque atteint 1,64 million de dollars, avec un coût médian de 750 000 dollars. Pour 73 % des organisations touchées, la facture s’est élevée à un minimum de 250 000 dollars.

« L’identité est devenue la principale surface d’attaque de la cybersécurité moderne, et ces données montrent que la plupart des organisations perdent du terrain », confie Ross McKerchar, Chief Information Security Officer chez Sophos. « Le problème des identités non humaines est particulièrement urgent. Les agents IA se voient accorder des privilèges à une cadence que les équipes de sécurité sont incapables de suivre, et les organisations qui ne prennent pas les devants verront cet écart de plus en plus coûteux à combler ».

L’erreur humaine et l’IA, un cocktail explosif

Le rapport identifie deux causes principales à ces compromissions. L’erreur humaine, où des employés divulguent involontairement leurs identifiants, est citée dans près de 43 % des cas. Juste derrière, la mauvaise gestion des identités non humaines (comptes de service, clés API, etc.) est responsable de 41 % des incidents. Les pratiques à risque, comme le stockage de clés d’accès dans le code ou l’utilisation d’identifiants statiques, créent des failles béantes.

Ce problème s’intensifie avec l’essor de l’intelligence artificielle dite « agentique ». Ces agents d’IA peuvent déployer de manière autonome des sous-agents, chacun générant de nouveaux identifiants avec des accès étendus et persistants, souvent sans supervision humaine adéquate. Les cadres de gestion actuels ne sont pas adaptés à cette nouvelle réalité, et les entreprises peinent à suivre : seule une sur trois effectue une rotation régulière de ces comptes non humains, et à peine 11 % le font en continu.

Failles de détection et secteurs surexposés

La visibilité sur les menaces reste un point faible majeur. Seules 24 % des organisations surveillent en permanence les tentatives de connexion suspectes, tandis que plus de la moitié n’effectue de vérifications qu’une fois par trimestre, voire moins. En conséquence, 14 % des entreprises compromises n’ont pas réussi à détecter et neutraliser l’attaque avant qu’elle ne cause des dommages significatifs. Les petites entreprises (100 à 250 employés) sont particulièrement vulnérables, étant presque deux fois moins capables de détecter ces attaques que les structures de taille moyenne.

Certains secteurs sont plus touchés que d’autres. Les infrastructures critiques, comme l’énergie, le pétrole, le gaz et les services publics (80 %), ainsi que les administrations publiques (78 %), affichent les taux de compromission les plus élevés.

Des recommandations pour renforcer la sécurité

Face à ce panorama, Sophos préconise une approche de défense à plusieurs niveaux. Les mesures essentielles incluent l’application systématique de l’authentification multifacteur (MFA), le respect du principe du moindre privilège pour limiter les accès au strict nécessaire, et la désactivation rapide des comptes inactifs.

Pour les identités non humaines, il est crucial de pouvoir les recenser, de remplacer les identifiants de longue durée par des alternatives éphémères et de déployer des plateformes de gestion des secrets. Enfin, l’adoption de solutions de détection et de réponse aux menaces liées aux identités (ITDR) et d’un modèle de sécurité Zero Trust devient indispensable pour faire face à la prolifération des identités générées par l’IA.

Sophos (https://www.sophos.com/fr) est un acteur majeur de la cybersécurité protégeant plus de 600 000 entreprises dans le monde. Le rapport complet « The State of Identity Security 2026 » est disponible en consultation sur le site de l’entreprise (https://www.sophos.com/en-us/resources/report/the-state-of-identity-security-2026).