Spycloud, le leader de la protection des menaces d’identité, a publié aujourd’hui le Rapport de menace d’identité Spycloud 2025révélant que si 86% des leaders de la sécurité déclarent confiance en leur capacité à prévenir les attaques basées sur l’identité, 85% des organisations ont été affectées par un incident de ransomware au moins une fois au cours de la dernière année – avec plus d’un tiers touché entre six et dix fois.
Illustrant en outre l’écart entre la confiance perçue et l’exposition réelle, l’étude de marché de plus de 500 leaders de la sécurité à travers l’Amérique du Nord et le Royaume-Uni a révélé que plus des deux tiers des organisations sont considérablement ou extrêmement préoccupées par les cyberattaques basées sur l’identité, mais seulement 38% peuvent détecter les expositions d’identité historiques qui créent des risques en raison de mauvais cyber-hygiénes comme la réutilisation des informations d’identification. Alors que les organisations sont aux prises avec des identités numériques tentaculaires sur les plates-formes SaaS, les appareils non gérés et les écosystèmes tiers, les attaquants capitalisent sur ces lacunes.
« Des infections à phishing et à l’infostaler aux informations d’identification réutilisées et à l’accès non géré, les acteurs de la menace d’aujourd’hui exploitent les expositions d’identité négligées », a déclaré Damon Fleury, chef de produit de Spycloud. «Ces tactiques permettent aux adversaires de contourner les défenses traditionnelles et d’établir tranquillement un accès qui peut entraîner des attaques de suivi telles que les ransomwares, la prise de contrôle des comptes, le détournement de session et la fraude. Ce rapport fait surface la vérité critique que de nombreuses organisations se sentent préparées, mais que leurs défenses ne s’étendent pas aux lieux que les adversaires fonctionnent désormais.»
L’étalement d’identité élargit la surface d’attaque
L’identité est devenue le centre gravitationnel des cyber-menaces modernes. L’identité numérique d’un individu s’étend désormais sur des centaines de points de contact, y compris les références d’entreprise et personnelles, les cookies de session, les données financières et les informations personnellement identifiables (PII) sur les plateformes SaaS, les appareils gérés et non gérés et les applications tierces.
Ces éléments lorsqu’ils sont exposés sur le Darknet créent une vaste surface d’attaque interconnectée mûre pour l’exploitation. Spycloud a repris 63,8 milliards de registres d’identité distincts de The Dark Web, une augmentation de 24% d’une année à l’autre. Cela illustre l’échelle sans précédent des données circulant dans le sous-sol criminel, laissant les organisations vulnérables parce qu’elles n’ont pas la visibilité et l’automatisation nécessaires pour fermer ces expositions avant de devenir des points d’entrée supplémentaires pour les attaques basées sur l’identité de suivi.
Cette augmentation de l’exposition alimente une grande préoccupation. Près de 40% des organisations interrogées ont identifié quatre menaces ou plus centrées sur l’identité comme des préoccupations «extrêmes», avec le phishing (40%), les ransomwares (37%), les adversaires de l’État-nation (36%) et les appareils non gérés ou non autorisés (36%) menant la liste.
Les menaces d’initié commencent par un compromis d’identité
Le rapport souligne également que les menaces d’initiés, qu’elles soient malveillantes ou involontaires, partagent souvent une origine commune: le compromis d’identité.
Les acteurs de l’État-nation, y compris les agents informatiques nord-coréens, tirent parti d’identités volées ou synthétiques pour infiltrer les organisations en se faisant passer pour des entrepreneurs ou des employés légitimes. Les résultats d’investigation de Spycloud montrent que les attaquants assemblent des identités synthétiques à l’aide de cookies phisés, des clés d’API exfiltrées par des logiciels malveillants et des informations d’identification réutilisées pour passer des vérifications des antécédents et des processus de dépistage faibles. Soulignant en outre ce point, les recherches précédentes de Spycloud ont révélé que 60% des organisations s’appuient toujours sur la communication manuelle et ad hoc entre les RH et les équipes de sécurité. Sans un dépistage de sécurité durci qui donne à la visibilité des organisations dans l’identité historique des candidats et les liens avec les infrastructures criminelles, ces acteurs peuvent rester non détectés jusqu’à ce qu’il soit trop tard.
Dans le même temps, les employés légitimes, les entrepreneurs ou les partenaires peuvent introduire sans le savoir les risques lorsque leur identité est compromise. Ces initiés involontaires sont fréquemment ciblés par le phishing et les logiciels malveillants d’infosteller, entraînant des informations d’identification volées et des cookies de session qui offrent un accès persistant aux systèmes internes.
Le phishing, en particulier, a été cité comme le principal point d’entrée pour les ransomwares en 2025, représentant 35% des incidents – une augmentation de 10 points par rapport à l’année précédente.
Les défenses ne sont pas à la réponse aux menaces basées sur l’identité
Malgré une sensibilisation croissante aux menaces axées sur l’identité, la plupart des organisations ne sont pas équipées pour répondre efficacement:
- 57% manquent de capacités solides pour invalider les séances exposées
- Près des deux tiers manquent de workflows de restauration reproductibles
- Environ les deux tiers n’ont pas de protocoles d’investigation officiels
- Moins de 20% peuvent automatiser l’assainissement de l’identité entre les systèmes
Seulement 19% des organisations ont en place des processus de correction d’identité automatisés. Les autres reposent sur une enquête au cas par cas ou des manuels incomplets qui laissent les attaquants à exploiter.
« La mission de défense a changé », a déclaré Trevor Hilligoss, responsable de la recherche sur la sécurité de Spycloud. «Les attaquants sont opportunistes, enchaînant ensemble des données d’identité volées pour trouver tout point d’accès disponible. Pourtant, les défenses traditionnelles restent étroitement axées sur le comportement et les points de terminaison – manquant les expositions d’identité qui permettent un accès persistant et non détecté. Les données montrent que les organisations doivent étendre la protection à la couche d’identité et garder un œil continu sur les expositions et la remède à la fermeture des menaces avant de suivre les attaques.
Les lacunes de clôture de l’identité avant les menaces d’initiés augmentent
Le rapport souligne la nécessité d’une approche holistique de la protection de l’identité. Cela signifie en corrélation continue des expositions sur l’empreinte numérique complète des utilisateurs – y compris les identités passées et présentes, personnelles et d’entreprise – et l’automatisation de l’automatisation des informations d’identification compromises, des cookies, des PII et des jetons d’accès. Ce faisant, les organisations vont au-delà de la protection au niveau du compte et gagnent en visibilité sur les risques d’identité que les acteurs des acteurs exploitent auparavant.
Le renseignement holistique de l’identité de Spycloud permet aux organisations de prévenir les menaces basées sur l’identité par:
- Détecter des candidats frauduleux avant l’accès à l’accès
- Identification des employés et des utilisateurs compromis sur des appareils et des environnements
- Invalider les séances et les références exposées à grande échelle
- Accélération des enquêtes grâce à la corrélation automatisée des données d’exposition DarkNet
« Les équipes qui excellent dans la sécurité de l’identité savent exactement où les expositions existent, peuvent les résoudre à grande échelle, fonctionnent avec des responsabilités clairement définies et s’adapter continuellement plutôt que de simplement réagir », a ajouté Fleury. «L’avenir appartient à ceux qui traitent l’identité comme une critique à la mission – la construction de systèmes qui détectent un compromis tôt, réagissent de manière décisive et battaient les acteurs de la menace de lancer d’autres attaques tout en gardant une main-d’œuvre forte et sûre.»
Les utilisateurs peuvent cliquer ici pour accéder au rapport complet ou contacter Spycloud pour en savoir plus.
À propos de Spycloud
Spycloud transforme les données DarkNet recapturées pour perturber la cybercriminalité. Ses solutions automatisées de protection contre les menaces d’identité exploitent l’analyse avancée et l’IA pour empêcher de manière proactive les ransomwares et le rachat des comptes, détecter les menaces d’initiés, sauvegarder les identités des employés et des consommateurs et accélérer les enquêtes de cybercriminalité. Les données de Spycloud provenant de violations, d’appareils infectés par malware et de phistes réussis alimentent également de nombreuses offres populaires de surveillance Web et de protection contre le vol d’identité. Les clients comprennent sept du Fortune 10, ainsi que des centaines d’entreprises mondiales, des entreprises de taille moyenne et des agences gouvernementales du monde entier. Basée à Austin, TX, Spycloud abrite plus de 200 experts en cybersécurité dont la mission est de protéger les entreprises et les consommateurs des criminels de données d’identité volés que les criminels utilisent pour les cibler maintenant.
Pour en savoir plus et voir des informations sur les données exposées de votre entreprise, les utilisateurs peuvent visiter Spycloud.com.
Contact
Emily Brown
Req au nom de Spycloud
ebrown@req.co
