Identité numérique : l’IA contre phishing et rançongiciels

22% des compromissions étudiées l’an dernier impliquaient un abus d’identifiants. Ce chiffre, issu du rapport 2025 de Verizon (DBIR), devrait faire réfléchir n’importe quel DSI ou RSSI : ce n’est plus « le réseau » qui constitue la frontière de sécurité la plus exposée, mais l’identité.

On le voit dans les attaques récentes et très coûteuses : des groupes de rançongiciel n’ont pas eu besoin d’exploiter une faille sophistiquée. Ils ont obtenu des mots de passe via des scénarios de vishing (appel téléphonique frauduleux) et ont utilisé ces accès comme une clé universelle pour se promener dans les systèmes. Le résultat se mesure en centaines de millions et, surtout, en confiance perdue.

Dans cette série « Intelligence artificielle dans la cybersécurité », j’insiste sur un point : l’IA est utile quand elle sert une stratégie claire. Sur l’identité, elle peut vraiment faire la différence—non pas en remplaçant les fondamentaux (MFA, moindre privilège, PAM), mais en détectant plus tôt, en réduisant le temps de réaction, et en empêchant l’escalade qui transforme un simple vol de mot de passe en crise majeure.

Pourquoi l’identité est devenue la nouvelle frontière

Réponse directe : l’identité est attaquée en priorité parce que l’IT moderne est distribuée (cloud, SaaS, télétravail, terminaux mobiles), et les identifiants sont le moyen le plus simple d’entrer « par la porte ».

Le vieux modèle « château et douves » tenait tant que la majorité des ressources restait derrière un périmètre réseau unique. En 12/2025, la réalité opérationnelle ressemble plutôt à un écosystème fragmenté : applications cloud, postes nomades, accès partenaires, prestataires, API, comptes de service. Dans ce contexte, l’authentification est souvent la seule barrière constante.

C’est aussi pour ça que le marché noir de l’accès explose. Les identifiants ne servent pas uniquement à « se connecter » : ils servent à se faire passer pour un utilisateur légitime, contourner des contrôles, et éviter les signaux d’attaque trop évidents.

Quatre méthodes qui alimentent la compromission d’identités

Réponse directe : les identifiants fuient massivement via infostealers, phishing/vishing, brèches de bases de mots de passe et attaques par force (stuffing/spraying).

• Infostealers : ces malwares volent mots de passe, cookies, jetons de session, données de navigateur. Une estimation de 2025 évoque 3,2 milliards d’identifiants volés en un an, dont 75% collectés via infostealers (soit 2,1 milliards). Concrètement, cela transforme un poste utilisateur « un peu négligé » en pompe à accès.
• Phishing, smishing, vishing : l’ingénierie sociale reste rentable, surtout quand l’attaquant cible un rôle (comptabilité, support IT, direction). Le vishing sur un helpdesk externalisé est un scénario typique : on obtient une réinitialisation, on contourne les procédures, et l’attaquant a son point d’appui.
• Brèches de données : une base de mots de passe compromise chez vous… ou chez un prestataire… devient un stock d’accès réutilisables.
• Brute-force et dérivés :
  • credential stuffing : tester des couples email/mot de passe issus de fuites.
  • password spraying : tester quelques mots de passe communs sur beaucoup de comptes.
  • dictionary attacks : varier autour de mots de passe probables.

Le point commun : toutes ces techniques profitent d’un système où l’identité est mal gouvernée—et où un compte compromis dispose de trop de droits.

Le vrai amplificateur : privilèges excessifs, sprawl et tiers

Réponse directe : ce qui rend l’attaque « catastrophique », ce n’est pas le vol initial d’un mot de passe, c’est la capacité à étendre l’accès (mouvement latéral) grâce à des privilèges mal maîtrisés.

Une fois connecté, l’attaquant cherche trois choses :

1. Élever ses privilèges (admin local, admin domaine, rôles cloud).
2. Se déplacer latéralement (partages, RDP, VPN, outils d’administration).
3. Atteindre les actifs critiques (sauvegardes, AD, ERP, systèmes OT, données clients).

Le moindre privilège n’est pas un slogan

Réponse directe : appliquer le principe du moindre privilège réduit mécaniquement la “zone d’explosion” (blast radius) après compromission.

Dans beaucoup d’organisations, des comptes ont gardé des droits hérités (anciens projets, mobilité interne, “au cas où”). Résultat : un simple compte utilisateur peut déclencher une réaction en chaîne.

Ce problème s’aggrave quand :

• des comptes de service tournent avec des droits trop élevés,
• les permissions cloud (IAM) ne sont pas revues,
• des groupes d’administration s’accumulent sans audits.

Identity sprawl : la surface d’attaque invisible

Réponse directe : l’accumulation d’identités (humaines et machines) non inventoriées crée des angles morts exploitables.

Comptes dormants, identifiants partagés, accès “temporaires” jamais révoqués… On se raconte que ce n’est « pas si grave » jusqu’au jour où un attaquant tombe dessus. Et ce phénomène ne va pas ralentir : entre IoT et agents IA (comptes techniques, jetons d’API, identités de workloads), le nombre d’identités machine explose.

Partenaires et prestataires : l’identité au-delà de l’entreprise

Réponse directe : plus la chaîne de valeur est complexe, plus la gestion des accès tiers devient un risque majeur.

Un prestataire peut avoir des accès légitimes à des outils d’administration, un helpdesk peut réinitialiser des mots de passe, un éditeur logiciel peut pousser des mises à jour. Si votre contrôle d’accès tiers est flou, votre sécurité l’est aussi.

Là où l’IA apporte un avantage concret (et où elle n’en apporte pas)

Réponse directe : l’IA est excellente pour détecter des anomalies d’identité à grande échelle (comportements, signaux faibles, corrélations), mais elle ne remplace pas MFA, PAM et une gouvernance IAM propre.

Si vous attendez de l’IA qu’elle « empêche le phishing » à elle seule, vous serez déçu. En revanche, utilisée correctement, elle permet de repérer plus tôt ce qui ressemble à :

• une connexion “trop parfaite” (bon mot de passe, mais contexte incohérent),
• un utilisateur qui change soudain de façon d’accéder aux ressources,
• une escalade de privilèges anormale,
• une séquence d’actions typique d’un rançongiciel.

Détection IA : du signal faible à l’alerte exploitable

Réponse directe : les modèles de détection comportementale identifient les écarts par rapport à une baseline d’usage et réduisent le temps entre intrusion et containment.

Exemples de signaux que l’IA peut corréler efficacement :

• Impossible travel : connexion depuis Paris puis depuis Singapour 20 minutes plus tard.
• Changement d’empreinte : nouveau navigateur, nouveau terminal, nouveau pays + accès à des données sensibles.
• MFA fatigue : rafales de demandes MFA suivies d’une acceptation.
• Séquences “post-compromission” : création de règles de transfert email, ajout à un groupe admin, génération de clés API, accès aux sauvegardes.

Le gain n’est pas “magique”, il est statistique : moins de bruit, plus de corrélation, et surtout des alertes priorisées.

IA et lutte anti-phishing/vishing : protection de l’utilisateur là où il se trompe

Réponse directe : l’IA aide à bloquer des campagnes de phishing en amont (analyse de contenu, réputation, similarité) et à détecter des tentatives de fraude au support (profilage de scénario, risques contextuels).

Pour le phishing email, l’IA peut analyser :

• similarité de domaines, styles d’écriture, structures d’URL,
• pièces jointes et scripts,
• patterns de conversation (réponse dans un fil existant, usurpation de dirigeants).

Pour le vishing, c’est plus délicat (le canal est vocal). Mais l’IA peut encore aider côté entreprise via :

• scoring de risque lors des demandes sensibles (reset MFA, ajout d’appareil, changement RIB),
• détection de comportements anormaux dans les tickets helpdesk,
• politiques adaptatives : exiger une vérification renforcée si le contexte diverge.

Phrase à garder en tête : un identifiant volé n’est pas une preuve d’identité.

IA et gestion des privilèges : du “toujours admin” au “juste à temps”

Réponse directe : l’IA peut recommander des réductions de droits et repérer les sur-privilèges, mais l’exécution doit passer par des mécanismes robustes (PAM, JIT, rotation).

La meilleure approche opérationnelle reste :

• accès Just-In-Time (JIT) pour les tâches admin,
• sessions administratives tracées,
• rotation automatique des secrets,
• séparation nette entre comptes utilisateurs et comptes à privilèges.

L’IA intervient utilement pour repérer :

• des rôles cloud incohérents avec le poste,
• des droits “jamais utilisés” (candidats à suppression),
• des chaînes d’appartenance à des groupes à risques.

Plan d’action : renforcer l’identité en 30 jours (sans usine à gaz)

Réponse directe : commencez par réduire l’exposition (MFA, mots de passe, comptes dormants), puis verrouillez les privilèges, puis industrialisez la détection et la réponse.

Semaine 1 : fermer les portes les plus faciles

1. MFA partout, en privilégiant application d’authentification ou passkeys plutôt que SMS.
2. Gestionnaire de mots de passe imposé + politique de mots de passe uniques.
3. Inventaire des accès externes (VPN, portails admin, consoles cloud) et suppression des accès inutiles.

Semaine 2 : traquer le sprawl et les comptes à risque

• Désactiver/supprimer les comptes dormants.
• Identifier les comptes partagés et lancer un plan de remplacement.
• Mettre sous contrôle les identités machines : secrets, clés API, tokens, comptes de service.

Semaine 3 : traiter le sujet qui fâche—les privilèges

• Revue des groupes admins (AD/IAM cloud) et retrait des droits non justifiés.
• Déploiement ou extension d’une démarche PAM (rotation, coffre-fort, JIT).
• Journalisation renforcée des actions privilégiées.

Semaine 4 : détection et réponse “prêtes à 3h du matin”

• Définir 10 à 15 cas d’usage d’alerte identité (MFA fatigue, ajout admin, création clés API, accès sauvegardes…).
• Activer une supervision continue (SOC interne ou MDR 24/7).
• Tester par simulation : campagne de phishing interne + exercice de réponse.

Questions fréquentes que les équipes se posent (et les réponses utiles)

« Si on a MFA, on est tranquilles ? »

Réponse directe : non. MFA réduit fortement le risque, mais il existe le contournement (fatigue MFA), le vol de session (cookies), les proxys de phishing et les erreurs de procédure au support.

« Le passkey, c’est vraiment mieux ? »

Réponse directe : oui, car le passkey est résistant au phishing dans beaucoup de scénarios. Mais il faut une stratégie de déploiement et de récupération d’accès (perte de terminal).

« L’IA va remplacer la sensibilisation ? »

Réponse directe : non, parce que l’attaque vise l’humain. L’IA peut filtrer, scorer et alerter, mais vos équipes doivent savoir reconnaître un scénario de fraude et appliquer des procédures.

Ce que je retiens : identité + IA, mais dans le bon ordre

La cybersécurité moderne se joue sur une équation simple : une identité compromise arrive tôt ou tard. La différence entre un incident contenu et un rançongiciel qui paralyse l’entreprise tient à deux leviers : les privilèges (trop larges) et le temps (détection trop lente).

L’IA est particulièrement forte sur ce deuxième levier : elle repère des anomalies d’accès, corrèle des signaux dispersés et aide à prioriser les alertes quand tout le monde est déjà débordé. Mais elle ne compensera jamais des comptes dormants, une MFA absente, ou des droits admins distribués trop généreusement.

Si vous deviez lancer une seule réflexion avant 2026 : combien d’identités (humaines et machines) peuvent accéder à vos actifs critiques, et qu’est-ce qui empêcherait un identifiant volé de devenir un accès réel ?