Je me suis assis avec Abbas Kudrati, conseiller en chef en sécurité des identités pour la région APAC chez Silverfort, pour discuter des tendances les plus urgentes en matière de sécurité des identités qui façonneront 2025 et de ce que les dirigeants doivent savoir pour protéger leurs organisations.
Votre nouveau titre de conférence, « C'est l'identité, idiot », attire immédiatement l'attention. Qu'est-ce qui vous a inspiré ?
Abbas : Eh bien, j'ai emprunté le célèbre message de campagne de James Carville lors de la campagne Clinton de 1992, mais avec une touche de cybersécurité. La réalité est que, dans le monde d'aujourd'hui, l'identité n'est pas seulement un élément de la sécurité, c'est le pilier fondamental. Votre pare-feu n'est plus votre première ligne de défense ; votre infrastructure d'identité Les organisations qui n’ont pas compris cela mènent les batailles d’aujourd’hui avec les armes d’hier.
Qu’est-ce qui a changé dans le paysage de la sécurité pour rendre l’identité si centrale ?
Tout a été bouleversé. Internet est le nouveau réseau, le cloud le nouveau centre de données et l'identité le nouveau périmètre. N'importe quel appareil peut désormais devenir un appareil de travail, et de fait, chaque entreprise est devenue une plateformes IAM l'entreprise, qu'ils en soient conscients ou non.
Ce qui est particulièrement inquiétant, c'est que identités non humaines Les identités non humaines sont désormais 25 à 50 fois plus nombreuses que les identités humaines. En 2010, les humains dominaient le paysage identitaire. En 2020, les identités non humaines étaient 10 fois plus nombreuses, et d'ici 2025, avec GenAI, les LLM et les copilotes, elles devraient être 50 fois plus nombreuses. C'est un chiffre colossal. surface d'attaque que la plupart des organisations ne sécurisent pas correctement.
Vos recherches mettent en lumière d'importantes préoccupations concernant les identités non humaines. Pourquoi les dirigeants devraient-ils s'y intéresser particulièrement ?
Parce que c'est une bombe à retardement. Selon Recherche de la Cloud Security Alliance, seulement 15 % des organisations se sentent pleinement confiantes dans la prévention des attaques NHI, tandis que 69 % s'en inquiètent. Seulement 20 % disposent de processus formels de retrait et de révocation des clés API, et encore moins les font tourner régulièrement.
La partie la plus alarmante ? Les comptes de service, qui disposent souvent de privilèges étendus, manquent souvent de visibilité. Si l'identité de ces machines est compromise via des fichiers de configuration ou des référentiels de code, cela peut entraîner d'importantes perturbations de l'activité.
Alors que les organisations durcissent leurs politiques utilisateurs, les attaquants ciblent de plus en plus les applications. Le problème ? Les applications ne peuvent pas utiliser authentification multi-facteur ou mémoriser les identifiants comme les humains, et les développeurs veulent souvent obtenir tous les privilèges possibles. C'est la tempête parfaite.
Gartner a récemment désigné la gestion des identités des machines comme l'une des principales tendances en matière de cybersécurité pour 2025. Qu'est-ce qui motive cette focalisation ?
La réalité rattrape le paysage des menaces. Top 10 des risques liés à l'identité non humaine selon l'OWASP pour 2025 met en évidence des problèmes critiques tels que les départs inappropriés, les fuites de secrets, les NHI tiers vulnérables et les NHI surprivilégiés.
Alors que de plus en plus d'entreprises adoptent Zero Trust Conformément à ces principes, les attaquants font évoluer leurs stratégies. Plutôt que de tenter de contourner l'infrastructure d'identité, ils s'efforcent de la subvertir. Cela nécessite de briser les cloisons traditionnelles entre les équipes d'identité et de sécurité, un problème que de nombreuses organisations peinent encore à résoudre.
Discutons du rôle de l'IA dans la sécurité des identités. Comment transforme-t-elle le paysage ?
C'est une arme à double tranchant. Les organisations avant-gardistes exploitent l'IA pour transformer leurs opérations d'identité, de la découverte des droits cachés à la prédiction des risques et à l'optimisation des politiques d'accès. Il s'agit d'une transition fondamentale d'une sécurité réactive à une sécurité prédictive.
Mais l'IA donne également du pouvoir aux attaquants. Nous constatons une automatisation de plus en plus sophistiquée des attaques basées sur l'identité, notamment dans le domaine de l'extraction de permissions et mouvements latérauxAprès avoir obtenu un accès initial, les acteurs de la menace peuvent désormais explorer et exploiter systématiquement les autorisations d’identité, en particulier dans les environnements cloud, trouvant souvent des chemins subtils vers des privilèges plus élevés qui pourraient ne pas déclencher d’alertes.
Quelles sont les menaces identitaires les plus importantes en 2025 ?
Je les classe en trois menaces principales :
Première, "Utilisateurs ingouvernables« La réalité est que les utilisateurs ne peuvent pas être formés pour gérer des attaques sophistiquées telles que le vol de cookies de session, le phishing par adversaire du milieu ou Fatigue AMFLa fréquence élevée des pannes utilisateur surcharge les ressources du SOC. Les organisations doivent rendre les flux de sécurité infaillibles.
Seconde, "« Applications non réglementées ». À mesure que les organisations renforcent leurs politiques et infrastructures utilisateur, les attaquants se tournent vers les applications. La stratégie à adopter repose sur des contrôles stricts des applications, des vérifications de conformité et une analyse des identifiants en temps réel.
Troisième, "Infrastructures subverties« À mesure que l’adoption du Zero Trust augmente, les attaquants s’efforcent de subvertir plutôt que de contourner l’infrastructure d’identité, en exploitant les relations de confiance entre les fournisseurs d’identité et les fournisseurs de services.
Vous avez élaboré une matrice stratégique pour les investissements en matière de sécurité des identités. Pouvez-vous expliquer comment les dirigeants devraient aborder cette priorisation ?
Votre partenaire Sécurité d'identité Matrix aide les dirigeants à allouer leurs ressources selon quatre priorités stratégiques. L'architecture Zero Trust et l'intégration de l'IA offrent la plus grande valeur stratégique, bien que leur mise en œuvre diffère. L'architecture Zero Trust offre une valeur stratégique élevée avec des défis de mise en œuvre relativement faibles, tandis que l'intégration de l'IA est tout aussi importante, mais nécessite une mise en œuvre plus complexe.
La consolidation sectorielle, bien que complexe à gérer, a un poids stratégique moindre pour la plupart des organisations. Les défis liés aux effectifs nécessitent une attention constante, mais ne doivent pas détourner les ressources d'initiatives plus cruciales.
Quelles mesures pratiques les dirigeants devraient-ils prendre pour renforcer leur posture de sécurité des identités ?
Six actions critiques :
- Tout d’abord, mettez en œuvre des contrôles d’accès stratégiques, en particulier l’accès juste-à-temps pour les opérations sensibles.
- Deuxièmement, resserrez protocoles d'authentification exigences avec MFA robuste pour l'accès interne et l'authentification de service à service.
- Troisièmement, renforcez les tests de sécurité d’identité pour inclure des scénarios tels que l’exploitation de la chaîne d’autorisation et les vulnérabilités des relations de confiance SSO.
- Quatrièmement, faites progresser la gouvernance des identités avec des examens réguliers des autorisations pour limiter l’impact des violations.
- Cinquièmement, transformer les opérations de sécurité en ayant l’identité comme pierre angulaire, en mettant en œuvre une vérification en temps réel.
- Enfin, établissez identité de la machine gouvernance avec des comités de surveillance dédiés à ces actifs commerciaux critiques.
Pour les organisations qui en sont encore au début de leur parcours en matière de sécurité des identités, sur quoi devraient-elles se concentrer en premier ?
Commencez par comprendre votre environnement d'identité, en particulier vos identités non humaines. Impossible de sécuriser ce que vous ne voyez pas, ou dont vous ignorez l'existence. La plupart des organisations possèdent des centaines, voire des milliers, de comptes de service, de clés API et d'identités machine fonctionnant avec des privilèges excessifs et une supervision insuffisante. Un inventaire complet des identités, notamment des identités non humaines, constitue la base de tout le reste.
Quel conseil clé donneriez-vous aux dirigeants d’entreprises de sécurité et souhaiteriez-vous partager avec nos lecteurs ?
La sécurité des identités doit évoluer d'une initiative technique à une priorité stratégique. Les dirigeants doivent piloter cette transformation par des investissements et une attention stratégiques. Les entreprises qui reconnaissent que « c'est l'identité qui compte » et agissent en conséquence seront bien plus résilientes face aux menaces sophistiquées de 2025 et au-delà.
Vous souhaitez en savoir plus sur la protection de l’infrastructure d’identité de votre organisation ? Visitez le SilverfortPage de la plateforme de 's pour explorer notre plateforme de sécurité des identités, ou faire une visite du produit.