Tu penses que ton mot de passe âT0t0@2023!â est la cible prĂ©fĂ©rĂ©e des cyberattaquantsâŻ? DĂ©trompe-toi. Aujourdâhui, les joyaux de la couronne, ce sont les identitĂ©s non humaines : clĂ©s API, tokens dâaccĂšs, comptes de service, certificats, etc.
Ces identifiants vivent dans lâombre, se rĂ©pliquent en silence, et nâont jamais fait de pause cafĂ©. RĂ©sultat ? Ils sont souvent plus puissants, plus durables, et⊠complĂštement invisibles dans ton plan SSI.
𧚠Gravité des conséquences : un cocktail explosif
đŻ 46 % des entreprises dĂ©jĂ impactĂ©es
Une Ă©tude de CyberArk (2024) rĂ©vĂšle que prĂšs de la moitiĂ© des entreprises ont connu une compromission liĂ©e Ă une identitĂ© non humaine. Dans la majoritĂ© des cas, lâattaquant accĂšde aux ressources critiques via une clĂ© API exposĂ©e, souvent dans un dĂ©pĂŽt GitHub public, ou un script oubliĂ©.
đ§ Exemple : En 2023, un dĂ©veloppeur dâune fintech a laissĂ© une clĂ© AWS hardcodĂ©e dans un repo GitLab privĂ© devenu public. RĂ©sultat : des bucket S3 intĂ©gralement vidĂ©s et une facture Ă 6 chiffres.
đ L’absence de MFA, un boulevard pour lâintrus
Contrairement aux humains, les NHIs nâont pas de MFA. Ce sont des clĂ©s statiques, parfois illimitĂ©es, souvent partagĂ©es entre services. Si tu veux que le pirate ait la vie facile, câest la voie royale.
đłïž Escalade de privilĂšges et latĂ©ralisation
Un token mal configurĂ© avec des droits admin globaux, câest comme donner les clĂ©s du data center Ă un pickpocket. Et avec les architectures microservices modernes, un simple accĂšs Ă un service peut conduire Ă une compromission du SI complet.
â Bienfaits dâune gestion rigoureuse
đ§ Automatisation sĂ©curisĂ©e
Bien gĂ©rĂ©s, les NHIs permettent une automatisation fluide et fiable : CI/CD, interconnexion SaaS, accĂšs aux services cloud⊠Aucun dĂ©veloppeur nâa envie de rentrer son mot de passe dans un script bash.
â Exemple : GitHub Actions peut utiliser des GitHub Secrets + OIDC pour sâauthentifier dynamiquement auprĂšs dâAWS. Pas de clĂ© statique, pas de fuite.
đ Alignement avec Zero Trust
GĂ©rer les NHIs avec autant de rigueur que les utilisateurs humains, câest respecter la philosophie Zero Trust. Moindre privilĂšge, authentification forte (ou Ă©quivalent machine), surveillance constante.
đ ConformitĂ© renforcĂ©e
Avec des mĂ©canismes de suivi et dâinventaire automatisĂ©, tu peux passer ton audit ISO 27001 ou RGPD sans sueur froide. Et surtout, tu sais qui accĂšde Ă quoi, quand et comment.
đ§ DĂ©tection plus rapide des incidents
Une gestion sĂ©rieuse des identitĂ©s passe par des logs dĂ©taillĂ©s, une rotation des secrets, et une dĂ©tection dâusage anormal. Câest ce qui permet de repĂ©rer un vol de token avant que le ransomware soit dĂ©jĂ dĂ©ployĂ©.
â ïž Points dâattention (et dâĂ©chec) Ă ne pas ignorer
1. đ» VisibilitĂ© nulle sans outillage
Les NHIs prolifĂšrent comme des lapins dans un champ dâEKS. Mais sans outils adaptĂ©s (type CIEM, DSPM ou SPM), impossible de les recenser.
đ§ Exemple : une grande entreprise dĂ©couvre lors dâun audit interne plus de 600 identitĂ©s non humainesactives sur Azure â la moitiĂ© n’Ă©tait plus utilisĂ©e depuis 2 ans.
2. đ© PrivilĂšges excessifs (et paresse de config)
Par dĂ©faut, câest souvent du â*â sur les permissions. Pourquoi se fatiguer Ă lire la doc IAM quand on peut tout ouvrirâŻ?
đ§ Exemple : un token GitLab CI avec âwrite-allâ sur tous les projets â y compris ceux contenant des credentials de prod.
3. đ CrĂ©dentiels statiques Ă durĂ©e illimitĂ©e
Câest le âTOUJOURS CONNECTĂâ des NHIs. Une clĂ© gĂ©nĂ©rĂ©e une fois en 2021, encore active en 2025, parce que âça marcheâ. Jusquâau jour oĂč elle est volĂ©e.
4. đ«„ Fuites dans le code ou la doc
Les tokens planquĂ©s dans les fichiers .env, copiĂ©s-collĂ©s dans des captures dâĂ©cran ou intĂ©grĂ©s dans les tutos internes finissent souvent sur Pastebin ou GitHub. GitGuardian signale plus de 27 millions de secrets exposĂ©s en 2024.
đ§ Exemple rĂ©el : une startup SaaS a publiĂ© un exemple dâAPI dans sa doc technique avec la vraie clĂ© admin⊠visible dans les captures dâĂ©cran.
5. đ§ââïž Lifecycle ignorĂ© = tokens zombies
Une app supprimĂ©e ? Le token reste. Un microservice redĂ©ployĂ© ? Lâancienne clĂ© traĂźne encore. Sans processus de nettoyage, les NHIs deviennent immortels.
6. đ”ïžââïž Monitoring ? Quel monitoring ?
Les identitĂ©s non humaines nâapparaissent pas dans lâActive Directory, ne dĂ©clenchent pas dâalertes de login et sont rarement corrĂ©lĂ©es dans les SIEM. RĂ©sultat : une compromission passe souvent inaperçue pendant des semaines.
đ ïž Recommandations concrĂštes
| Action | Description |
|---|---|
| Inventorier | Utiliser des outils comme HashiCorp Vault, AWS IAM Access Analyzer, Azure CIEM |
| Classifier | DĂ©terminer quels tokens accĂšdent Ă quoi |
| Appliquer RBAC/ABAC | Ne jamais donner plus de droits quâil nâen faut |
| Mettre une durée de vie courte | Expiration automatique et rotation fréquente |
| Monitorer activement | Logs API + dĂ©tection dâusage anormal |
| Nettoyage régulier | Supprimer les tokens non utilisés automatiquement |
| Ăviter le hardcoding | Utiliser des secrets managers ou OIDC |
𧩠En résumé
Les identités non humaines sont les backdoors légales de ton SI : elles ont accÚs à tout, sont rarement surveillées, et se baladent souvent sans laisse.
- Gravité : critique
- Impact :Â transversal
- Gains si bien géré : fluidité, sécurité, conformité
- Si laissĂ© Ă lâabandon : catastrophe annoncĂ©e
đ Mot de la fin
Tu pensais que tes utilisateurs Ă©taient le maillon faible ? DĂ©trompe-toi. La menace, câest ton propre code, ton pipeline Jenkins, ou ton token oubliĂ© dans un script Bash de 2019.
GĂ©rer les identitĂ©s non humaines, ce nâest pas une option. Câest une assurance vie pour ton systĂšme dâinformation.
