Identité continue: sécuriser le cycle de vie utilisateur dans un monde Zero Trust
Publié le 23 octobre 2025
- Cybersécurité
Cette page a été traduite automatiquement depuis l’anglais pour en faciliter l’accès. En cas de doute, nous vous recommandons de consulter la version originale (s’ouvre dans un nouvel onglet).
En bref
- L’identité continue est la prochaine étape de la sécurité numérique, garantissant un accès sécurisé et adaptatif à chaque moment du parcours utilisateur
- Elle comble les failles de sécurité laissées par les systèmes traditionnels basés sur la connexion, réduisant les risques de violation et renforçant la conformité
- Implémentez le Zero Trust en introduisant progressivement une identité centralisée, une gestion des sessions et des contrôles en temps réel reposant sur l’analyse comportementale et la réponse automatisée aux incidents
- Construisez une identité continue en suivant des étapes telles que l’intégration de l’analyse comportementale, l’automatisation de la réponse aux incidents et la synchronisation des accès sur l’ensemble des applications
L’identité est depuis longtemps considérée comme le nouveau périmètre de sécurité
Qu’est-ce que l’identité continue ?
L’identité continue est la capacité à vérifier, surveiller et adapter les décisions d’accès en temps réel, en fonction du contexte et du comportement évolutifs. Elle repose sur :
- Des applications conscientes des sessions capables de détecter et signaler les anomalies, ou d’agir en cas de comportement suspect,
- Des contrôles d’accès basés sur des politiques qui évaluent en continu les risques à partir de signaux statiques et dynamiques,
- Un courtier d’identité centralisé qui coordonne les signaux et applique les décisions.
Cela permet aux organisations d’appliquer les principes du Zero Trust non seulement au point d’entrée, mais tout au long du parcours utilisateur.
Pourquoi l’identité continue est-elle essentielle?
Les enjeux sont majeurs.
Selon le rapport IBM 2025 sur le coût des violations de données, le coût moyen d’une violation liée à des identifiants compromis s’élève à 4,81 millions de dollars, avec un délai de détection et de remédiation pouvant atteindre 292 jours.
-
Les violations liées à l’identité représentent désormais 16 % de l’ensemble des incidents, ce qui en fait le principal vecteur d’attaque.
-
93% des organisations ont subi deux violations ou plus liées à l’identité au cours de l’année écoulée.
-
SSO et MFA : des failles de sécurité
Dans une configuration IAM classique en entreprise, le Single Sign-On (SSO) permet aux utilisateurs de s’authentifier une seule fois pour accéder à plusieurs applications. Cependant, chaque application conserve sa propre session, souvent longue et isolée. Cela engendre plusieurs problèmes :
- Absence de visibilité inter-applications sur les sessions : si l’appareil d’un utilisateur est compromis, seule l’application qui détecte l’anomalie peut réagir. Les autres restent ignorantes de la menace.
- Contrôle d’accès statique : les changements de rôle ou d’attribut (par exemple, la révocation des droits de trading) nécessitent une déconnexion/reconnexion, retardant l’application des nouvelles règles.
- Absence de télémétrie comportementale centralisée : chaque application journalise les activités de manière isolée, rendant difficile la corrélation des comportements suspects à l’échelle de l’environnement.
Malgré l’adoption généralisée du SSO et de l’authentification multifacteur (MFA), ces outils ne sécurisent que le moment de la connexion. Une fois authentifiés, les utilisateurs conservent souvent leur accès indéfiniment, même si leur niveau de risque évolue. C’est cette faille que l’identité continue vise à combler.
Le cycle de vie de l’identité: du collaborateur entrant au sortant
Explorons comment l’identité continue accompagne le parcours d’un utilisateur au sein de l’organisation, de son intégration à son départ.
Lorsqu’un nouvel employé rejoint l’organisation, le système d’identité pose les bases d’un accès sécurisé.
- Provisionnement précis: les accès sont accordés en fonction du rôle, du département, de la localisation, des autres utilisateurs et des attributs des ressources cibles. L’identité continue garantit que seules les autorisations nécessaires sont accordées, réduisant ainsi le risque d’accumulation de privilèges.
- MFA adaptatif lors de la première connexion: le système évalue le type d’appareil, la localisation et le contexte réseau pour déterminer le niveau d’authentification requis, par exemple une vérification biométrique pour un accès à haut risque.
- Validation de la posture de l’appareil: avant d’accorder l’accès, le système vérifie si l’appareil respecte les normes de conformité (par exemple, antivirus ou EDR installé, système d’exploitation à jour, appareil non jailbreaké).
- Initialisation du profil comportemental: les premières activités de l’utilisateur (horaires de connexion, ressources consultées, schémas de navigation) sont enregistrées afin d’établir une base comportementale pour la détection future d’anomalies.
Alors que l’employé interagit avec les systèmes et les données, l’identité continue garantit un accès contextuel et sécurisé.
Travail collaboratif sur des espaces partagés: L’employé rejoint un projet transverse et accède à un espace partagé. L’identité continue évalue :
- Le rôle et l’affectation au projet
- La conformité de l’appareil
- Le contexte comportemental (ex. : heure, localisation)
L’accès est accordé dynamiquement sur plusieurs sessions sans nécessiter une nouvelle authentification, et révoqué en cas de signaux de risque, permettant une collaboration fluide.
Comportement suspect en cours de session: L’utilisateur commence à télécharger un volume important de données en dehors de ses habitudes. Le système :
- Signale l’anomalie
- Diffuse un signal de risque aux autres applications
- Déclenche une authentification renforcée ou restreint l’accès
Cette réponse en temps réel empêche l’exfiltration de données. L’identité continue suit l’activité de session sur les outils CRM, RH et de productivité, permettant une réponse coordonnée aux anomalies. Cette phase garantit un accès adapté au contexte évolutif de l’utilisateur, tout en maintenant la sécurité sans nuire à la productivité.
À mesure que les collaborateurs changent de rôle, rejoignent de nouveaux projets ou intègrent un autre département, leurs besoins en matière d’accès évoluent.
- Réévaluation instantanée des sessions actives: lorsqu’un rôle ou un attribut utilisateur change (par exemple, retrait d’une équipe finance), l’identité continue réévalue toutes les sessions actives et ajuste les accès immédiatement, sans nécessiter de déconnexion.
- Application granulaire des politiques: les politiques d’accès sont définies via des frameworks de type policy-as-code, permettant un contrôle précis des ressources accessibles selon les attributs mis à jour.
- Synchronisation inter-applications: les modifications des droits d’accès sont propagées à l’ensemble des applications intégrées, garantissant une application cohérente et sans faille.
- Génération de journaux d’audit: chaque ajustement d’accès est enregistré, assurant une traçabilité claire pour la conformité et la gouvernance.
Des changements inattendus dans le comportement de l’utilisateur ou la posture de l’appareil peuvent signaler des menaces potentielles. L’identité continue réagit instantanément.
Dégradation de la posture de l’appareil : L’appareil de l’utilisateur devient non conforme (par exemple, antivirus désactivé). Le système :
- Envoie un signal à la couche d’identité
- Révoque ou limite l’accès jusqu’au rétablissement de la conformité
Détection de vol de jeton : Un jeton de session est volé et réutilisé depuis une adresse IP différente. L’identité continue :
- Détecte l’anomalie
- Révoque la session sur toutes les applications
- Demande une réauthentification
Lorsqu’un collaborateur démissionne ou est licencié, l’identité continue garantit un processus de sortie sécurisé et fluide.
Surveillance comportementale pendant la période de préavis: Si l’utilisateur commence à télécharger un volume important de données ou à accéder à des systèmes sensibles, le système signale ce comportement et applique des contrôles renforcés. L’identité continue :
- Corrèle les signaux RH avec les anomalies comportementales
- Augmente le score de risque
- Applique des contrôles renforcés sur les outils CRM, financiers et collaboratifs en mettant fin aux sessions actives
Déprovisionnement des accès et journalisation: Tous les droits sont révoqués et un journal complet des dernières activités de l’utilisateur est généré à des fins de conformité et d’investigation.
Cette phase garantit une sortie sécurisée de l’organisation, sans accès résiduel ni fuite de données.
Le rôle du CAEP dans l’identité continue
Le Continuous Access Evaluation Profile (CAEP) est un élément clé de ce modèle. Il permet aux fournisseurs d’identité et aux applications de partager en temps réel des signaux relatifs à l’état des sessions, à la posture des appareils et au comportement des utilisateurs.
Selon CrowdStrike, le CAEP permet de réduire l’exposition aux risques en activant des décisions d’accès basées sur les événements, telles que :
- La révocation des sessions après un changement de rôle
- Le blocage de l’accès depuis des appareils compromis
- La réponse aux anomalies de localisation (ex. : déplacement impossible)
La plateforme Entra de Microsoft utilise déjà le CAEP pour appliquer la révocation des sessions en quasi temps réel sur Teams, SharePoint et Exchange.
Adoption du Zero Trust : un impératif stratégique
L’essor de l’identité continue s’inscrit dans le mouvement plus large vers une architecture Zero Trust.
Construire l’état cible
Pour mettre en œuvre l’identité continue, les organisations peuvent adopter une approche progressive:
Phase 1: poser les bases
Implémenter un fournisseur d’identité centralisé avec SSO et MFA adaptatif, intégrer la posture des appareils et l’analyse comportementale dans la couche d’identité, et définir des politiques d’accès basées sur le risque à l’aide de frameworks de type policy-as-code (ex. : OPA, Rego).
Phase 2: activer la visibilité des sessions
Instrumenter les applications clés avec des SDK de télémétrie de session, adopter des protocoles compatibles CAEP pour permettre le contrôle des sessions en temps réel, commencer à diffuser les signaux comportementaux vers un moteur de politique centralisé.
Phase 3: automatiser et orchestrer
Configurer l’application des politiques en temps réel (ex. : révocation de session, réauthentification), intégrer les plateformes SIEM/SOAR pour une réponse automatisée aux incidents, établir le partage de signaux inter-applications pour corréler les risques.
Phase 4: étendre et optimiser
Étendre la couverture à toutes les applications critiques et groupes d’utilisateurs, affiner en continu les modèles de risque à l’aide du machine learning et du renseignement sur les menaces, intégrer des signaux non liés à l’identité (ex. : télémétrie réseau, schémas d’usage des applications) dans les décisions d’accès.
L’identité comme état continu
L’identité continue n’est pas seulement un renforcement de la sécurité, c’est un levier stratégique pour le Zero Trust, le travail hybride et l’agilité digitale. En alignant la vérification de l’identité sur l’ensemble du cycle de vie utilisateur, les organisations peuvent réduire les risques de violation, améliorer l’expérience utilisateur et répondre aux menaces en temps réel. Si vous modernisez votre architecture IAM, faites de l’identité continue un pilier central de votre feuille de route, du moment où un utilisateur rejoint l’organisation jusqu’à son départ.
Auteurs
Sources
[1] www.cybersecuritydive.com (s’ouvre dans un nouvel onglet)
[2] www.cyberark.com (s’ouvre dans un nouvel onglet)
[3] www.crowdstrike.com (s’ouvre dans un nouvel onglet)
[4] learn.microsoft.com (s’ouvre dans un nouvel onglet)
[5] www.okta.com (s’ouvre dans un nouvel onglet)