Tu penses que ton mot de passe “T0t0@2023!” est la cible préférée des cyberattaquants ? Détrompe-toi. Aujourd’hui, les joyaux de la couronne, ce sont les identités non humaines : clés API, tokens d’accès, comptes de service, certificats, etc.
Ces identifiants vivent dans l’ombre, se répliquent en silence, et n’ont jamais fait de pause café. Résultat ? Ils sont souvent plus puissants, plus durables, et… complètement invisibles dans ton plan SSI.
🧨 Gravité des conséquences : un cocktail explosif
🎯 46 % des entreprises déjà impactées
Une étude de CyberArk (2024) révèle que près de la moitié des entreprises ont connu une compromission liée à une identité non humaine. Dans la majorité des cas, l’attaquant accède aux ressources critiques via une clé API exposée, souvent dans un dépôt GitHub public, ou un script oublié.
🧠 Exemple : En 2023, un développeur d’une fintech a laissé une clé AWS hardcodée dans un repo GitLab privé devenu public. Résultat : des bucket S3 intégralement vidés et une facture à 6 chiffres.
💀 L’absence de MFA, un boulevard pour l’intrus
Contrairement aux humains, les NHIs n’ont pas de MFA. Ce sont des clés statiques, parfois illimitées, souvent partagées entre services. Si tu veux que le pirate ait la vie facile, c’est la voie royale.
🕳️ Escalade de privilèges et latéralisation
Un token mal configuré avec des droits admin globaux, c’est comme donner les clés du data center à un pickpocket. Et avec les architectures microservices modernes, un simple accès à un service peut conduire à une compromission du SI complet.
✅ Bienfaits d’une gestion rigoureuse
🔧 Automatisation sécurisée
Bien gérés, les NHIs permettent une automatisation fluide et fiable : CI/CD, interconnexion SaaS, accès aux services cloud… Aucun développeur n’a envie de rentrer son mot de passe dans un script bash.
✅ Exemple : GitHub Actions peut utiliser des GitHub Secrets + OIDC pour s’authentifier dynamiquement auprès d’AWS. Pas de clé statique, pas de fuite.
🔒 Alignement avec Zero Trust
Gérer les NHIs avec autant de rigueur que les utilisateurs humains, c’est respecter la philosophie Zero Trust. Moindre privilège, authentification forte (ou équivalent machine), surveillance constante.
📋 Conformité renforcée
Avec des mécanismes de suivi et d’inventaire automatisé, tu peux passer ton audit ISO 27001 ou RGPD sans sueur froide. Et surtout, tu sais qui accède à quoi, quand et comment.
🧠 Détection plus rapide des incidents
Une gestion sérieuse des identités passe par des logs détaillés, une rotation des secrets, et une détection d’usage anormal. C’est ce qui permet de repérer un vol de token avant que le ransomware soit déjà déployé.
⚠️ Points d’attention (et d’échec) à ne pas ignorer
1. 👻 Visibilité nulle sans outillage
Les NHIs prolifèrent comme des lapins dans un champ d’EKS. Mais sans outils adaptés (type CIEM, DSPM ou SPM), impossible de les recenser.
🧠 Exemple : une grande entreprise découvre lors d’un audit interne plus de 600 identités non humainesactives sur Azure — la moitié n’était plus utilisée depuis 2 ans.
2. 🎩 Privilèges excessifs (et paresse de config)
Par défaut, c’est souvent du “*” sur les permissions. Pourquoi se fatiguer à lire la doc IAM quand on peut tout ouvrir ?
🧠 Exemple : un token GitLab CI avec “write-all” sur tous les projets — y compris ceux contenant des credentials de prod.
3. 🔐 Crédentiels statiques à durée illimitée
C’est le “TOUJOURS CONNECTÉ” des NHIs. Une clé générée une fois en 2021, encore active en 2025, parce que “ça marche”. Jusqu’au jour où elle est volée.
4. 🫥 Fuites dans le code ou la doc
Les tokens planqués dans les fichiers .env, copiés-collés dans des captures d’écran ou intégrés dans les tutos internes finissent souvent sur Pastebin ou GitHub. GitGuardian signale plus de 27 millions de secrets exposés en 2024.
🧠 Exemple réel : une startup SaaS a publié un exemple d’API dans sa doc technique avec la vraie clé admin… visible dans les captures d’écran.
5. 🧟♂️ Lifecycle ignoré = tokens zombies
Une app supprimée ? Le token reste. Un microservice redéployé ? L’ancienne clé traîne encore. Sans processus de nettoyage, les NHIs deviennent immortels.
6. 🕵️♂️ Monitoring ? Quel monitoring ?
Les identités non humaines n’apparaissent pas dans l’Active Directory, ne déclenchent pas d’alertes de login et sont rarement corrélées dans les SIEM. Résultat : une compromission passe souvent inaperçue pendant des semaines.
🛠️ Recommandations concrètes
| Action | Description |
|---|---|
| Inventorier | Utiliser des outils comme HashiCorp Vault, AWS IAM Access Analyzer, Azure CIEM |
| Classifier | Déterminer quels tokens accèdent à quoi |
| Appliquer RBAC/ABAC | Ne jamais donner plus de droits qu’il n’en faut |
| Mettre une durée de vie courte | Expiration automatique et rotation fréquente |
| Monitorer activement | Logs API + détection d’usage anormal |
| Nettoyage régulier | Supprimer les tokens non utilisés automatiquement |
| Éviter le hardcoding | Utiliser des secrets managers ou OIDC |
🧩 En résumé
Les identités non humaines sont les backdoors légales de ton SI : elles ont accès à tout, sont rarement surveillées, et se baladent souvent sans laisse.
- Gravité : critique
- Impact : transversal
- Gains si bien géré : fluidité, sécurité, conformité
- Si laissé à l’abandon : catastrophe annoncée
😈 Mot de la fin
Tu pensais que tes utilisateurs étaient le maillon faible ? Détrompe-toi. La menace, c’est ton propre code, ton pipeline Jenkins, ou ton token oublié dans un script Bash de 2019.
Gérer les identités non humaines, ce n’est pas une option. C’est une assurance vie pour ton système d’information.
