À l’approche de l’Identity Management Day, Sophos alerte sur le rôle central de l’identité, cause racine de plus de 67 % des cyberattaques.

La cybersécurité a changé de visage. L’image de pirates informatiques forçant les défenses d’une entreprise est de plus en plus obsolète, remplacée par une réalité plus insidieuse : celle d’attaquants qui entrent simplement en utilisant les clés de la maison. C’est le constat alarmant dressé par Bruno Durand, Vice-président régional pour l’Europe du Sud chez Sophos, l’un des leaders mondiaux des solutions de cybersécurité. À quelques jours de l’International Identity Management Day, il souligne un changement de paradigme fondamental dans les modes opératoires des cybercriminels.

« Les attaquants ne forcent plus les portes, ils se connectent. Lorsqu’une identité est compromise, la confiance est automatiquement accordée. C’est pourquoi la protection de l’identité est devenue le fondement de la cybersécurité moderne », affirme Bruno Durand. L’entreprise Sophos (https://www.sophos.com), spécialisée dans la neutralisation des cyberattaques, a analysé des centaines d’incidents pour étayer cette affirmation.

L’identité, nouvelle porte d’entrée des entreprises

Les chiffres issus d’une étude menée par Sophos sont sans appel. Sur un échantillon de 661 incidents analysés entre novembre 2024 et octobre 2025, plus de 67 % des attaques ont pour cause racine une faille liée à la gestion des identités. Cette statistique place l’identité loin devant d’autres vecteurs d’attaque pourtant bien connus. Dans le détail, l’utilisation d’identifiants valides mais compromis représente à elle seule plus de 42 % des intrusions.

Les attaques par force brute, qui consistent à tester massivement des combinaisons de mots de passe, ne comptent que pour 15,6 % des cas, tandis que l’exploitation de vulnérabilités logicielles s’élève à 16 %. Parallèlement, le phishing, ou hameçonnage, continue sa progression comme point d’entrée privilégié pour dérober ces précieux sésames, passant de 2,13 % à 5,86 % des causes initiales en seulement un an.

Des fondamentaux de sécurité encore trop négligés

Malgré la criticité de cet enjeu, les bonnes pratiques peinent à se généraliser. L’étude de Sophos révèle que près de 60 % des organisations victimes d’une attaque n’avaient pas activé l’authentification multifacteur (MFA) ou l’avaient mal configurée. Ce chiffre, bien qu’en légère amélioration par rapport aux 64 % de l’année précédente, démontre une lacune béante dans la protection des accès.

« Ce qui rend ces attaques particulièrement critiques, c’est leur discrétion. Avec des identifiants valides, l’activité malveillante ressemble à un comportement utilisateur légitime, ce qui complique fortement la détection », précise Bruno Durand. Une fois connectés, les attaquants peuvent se déplacer latéralement dans les réseaux, identifier les données de valeur et préparer leur attaque finale (rançongiciel, exfiltration de données) sans éveiller les soupçons.

Une menace rapide qui cible massivement les PME

Le temps est un facteur critique. Les attaquants font preuve d’une rapidité d’exécution redoutable, tentant d’accéder aux environnements Active Directory, le cœur de la gestion des identités de nombreuses entreprises, en seulement 3,4 heures en médiane. Cela représente une accélération de 70 % en un an, réduisant drastiquement la fenêtre de réaction pour les équipes de sécurité. Une fois en place, leur présence médiane dans les systèmes n’est que de trois jours avant de passer à l’action.

Contrairement à une idée reçue, cette menace ne vise pas que les grands groupes. Les PME sont en réalité en première ligne : 84 % des incidents étudiés concernent des organisations de moins de 1 000 employés. Plus de la moitié des victimes sont même des structures de moins de 250 personnes. Le secteur de l’industrie est le plus touché (près de 20 % des cas), suivi par les services financiers, le bâtiment, l’informatique et la santé.

Un appel à une vigilance continue

Pour Sophos, l’International Identity Management Day doit être l’occasion d’une prise de conscience. « Les contrôles d’identité existent, mais ils ne sont pas toujours pleinement appliqués. Une authentification multifacteur déployée de manière incomplète ou une gestion insuffisante des accès privilégiés créent des risques évitables », conclut Bruno Durand.

Il appelle les organisations à adopter une approche continue et rigoureuse de la sécurité des identités, incluant la vérification contextuelle des connexions, la surveillance active des comptes, la suppression systématique des accès inutiles et un contrôle strict des privilèges administratifs. « L’identité est aujourd’hui le véritable plan de contrôle de la cybersécurité. Les entreprises qui investiront dans des systèmes d’identité résilients et une visibilité en temps réel seront en mesure de contenir les menaces. Les autres continueront à subir des violations silencieuses, rapides et difficiles à détecter ».