Rapport SpyCloud : Deux tiers des organisations sont extrêmement préoccupées par les attaques d'identité, mais d'importants angles morts persistent.

Austin, Texas, États-Unis, 23 septembre 2025, CyberNewsWire

Le nouveau rapport SpyCloud 2025 sur les menaces d'identité révèle un décalage dangereux entre la préparation perçue en matière de sécurité et la réalité opérationnelle.

SpyCloud , le leader de la protection contre les menaces d'identité, a publié aujourd'hui le rapport SpyCloud 2025 sur les menaces d'identité , révélant que si 86 % des responsables de la sécurité se disent confiants dans leur capacité à prévenir les attaques basées sur l'identité, 85 % des organisations ont été touchées par un incident de ransomware au moins une fois au cours de l'année écoulée - avec plus d'un tiers touchées entre six et dix fois.

Illustrant davantage l'écart entre la confiance perçue et l'exposition réelle, l'étude de marché menée auprès de plus de 500 responsables de la sécurité en Amérique du Nord et au Royaume-Uni révèle que plus des deux tiers des organisations sont fortement ou extrêmement préoccupées par les cyberattaques basées sur l'identité, mais que seulement 38 % d'entre elles sont capables de détecter les expositions historiques aux identités qui créent des risques en raison d'une mauvaise cyberhygiène, comme la réutilisation des identifiants. Face à la prolifération des identités numériques sur les plateformes SaaS, les appareils non gérés et les écosystèmes tiers, les attaquants exploitent ces failles.

« De l'hameçonnage et des infections par vol d'informations à la réutilisation d'identifiants et aux accès non gérés, les acteurs malveillants actuels exploitent les vulnérabilités d'identité négligées », a déclaré Damon Fleury, directeur des produits chez SpyCloud. « Ces tactiques permettent aux adversaires de contourner les défenses traditionnelles et d'établir discrètement un accès susceptible de mener à des attaques ultérieures telles que les rançongiciels, les piratages de comptes, les détournements de session et les fraudes. Ce rapport met en lumière une réalité cruciale : de nombreuses organisations se sentent préparées, mais leurs défenses ne s'étendent pas aux zones d'activité actuelles des adversaires. »

L'étalement des identités élargit la surface d'attaque

L'identité est devenue le centre des cybermenaces modernes. L'identité numérique d'un individu s'étend désormais à des centaines de points de contact, notamment ses identifiants professionnels et personnels, ses cookies de session, ses données financières et ses informations personnelles identifiables (IPI) sur les plateformes SaaS, les appareils gérés et non gérés, et les applications tierces.

Une fois exposés sur le darknet, ces éléments créent une vaste surface d'attaque interconnectée, propice à l'exploitation. SpyCloud a récupéré 63,8 milliards d'enregistrements d'identité distincts sur le darknet, soit une augmentation de 24 % sur un an. Cela illustre l'ampleur sans précédent des données circulant dans le monde criminel, rendant les organisations vulnérables, faute de visibilité et d'automatisation nécessaires pour neutraliser ces vulnérabilités avant qu'elles ne deviennent des points d'entrée supplémentaires pour de nouvelles attaques basées sur l'identité.

Cette augmentation de l'exposition suscite une inquiétude générale. Près de 40 % des organisations interrogées ont identifié au moins quatre menaces centrées sur l'identité comme des préoccupations « extrêmes », avec en tête l'hameçonnage (40 %), les rançongiciels (37 %), les attaques d'États-nations (36 %) et les appareils non gérés ou non autorisés (36 %).

Les menaces internes commencent par la compromission d'identité

Le rapport souligne également que les menaces internes , qu’elles soient malveillantes ou involontaires, partagent souvent une origine commune : la compromission d’identité.

Des acteurs étatiques, dont des agents informatiques nord-coréens, exploitent des identités volées ou synthétiques pour infiltrer des organisations en se faisant passer pour des sous-traitants ou des employés légitimes. Les conclusions de l'enquête de SpyCloud montrent que les attaquants assemblent des identités synthétiques à l'aide de cookies hameçonnés, de clés API exfiltrées par des logiciels malveillants et d'identifiants réutilisés pour passer les vérifications d'antécédents et les processus de filtrage défaillants. Une précédente étude de SpyCloud a d'ailleurs révélé que 60 % des organisations s'appuient encore sur une communication manuelle et ponctuelle entre les équipes RH et sécurité. Sans un contrôle de sécurité renforcé permettant aux organisations de visualiser l'historique des abus d'identité des candidats et leurs connexions à des infrastructures criminelles, ces acteurs peuvent passer inaperçus jusqu'à ce qu'il soit trop tard.

Parallèlement, des employés, sous-traitants ou partenaires légitimes peuvent, sans le savoir, introduire un risque lorsque leur identité est compromise. Ces initiés involontaires sont fréquemment ciblés par des programmes malveillants d'hameçonnage et de vol d'informations, qui volent leurs identifiants et cookies de session permettant un accès permanent aux systèmes internes.

Le phishing, en particulier, a été cité comme le principal point d’entrée des ransomwares en 2025, représentant 35 % des incidents, soit une augmentation de 10 points par rapport à l’année précédente.

Les défenses ne parviennent pas à répondre aux menaces identitaires

Malgré une prise de conscience croissante des menaces liées à l’identité, la plupart des organisations ne sont pas équipées pour réagir efficacement :

• 57 % manquent de capacités solides pour invalider les sessions exposées
• Près des deux tiers manquent de flux de travail de correction reproductibles
• Environ deux tiers ne disposent pas de protocoles d’enquête formels
• Moins de 20 % peuvent automatiser la correction d’identité sur l’ensemble des systèmes

Seules 19 % des organisations disposent de processus automatisés de correction des identités. Les autres s'appuient sur des enquêtes au cas par cas ou sur des manuels incomplets qui laissent des failles exploitables par les attaquants.

« La mission de défense a changé », a déclaré Trevor Hilligoss, responsable de la recherche en sécurité chez SpyCloud. « Les attaquants sont opportunistes et enchaînent les données d'identité volées pour trouver n'importe quel point d'accès disponible. Pourtant, les défenses traditionnelles restent étroitement axées sur le comportement et les terminaux, négligeant les expositions d'identité qui permettent un accès persistant et non détecté. Les données montrent que les organisations doivent étendre la protection à la couche d'identité et surveiller en permanence les expositions et les mesures correctives afin de neutraliser les menaces avant que des attaques ultérieures ne surviennent. »

Combler les failles d'identité avant que les menaces internes ne s'intensifient

Le rapport souligne la nécessité d'une approche globale de la protection de l'identité. Cela implique de corréler en permanence les expositions à l'ensemble de l'empreinte numérique des utilisateurs – y compris leurs identités passées et présentes, personnelles et professionnelles – et d'automatiser la correction des identifiants, cookies, informations personnelles et jetons d'accès compromis. Ce faisant, les organisations vont au-delà de la protection au niveau des comptes et gagnent en visibilité sur les risques d'identité que les acteurs malveillants exploitaient auparavant.

L'intelligence d'identité holistique de SpyCloud permet aux organisations de prévenir les menaces basées sur l'identité en :

• Détecter les candidats frauduleux avant que l'accès ne soit accordé
• Identification des employés et des utilisateurs compromis sur les appareils et les environnements
• Invalidation des sessions et des informations d'identification exposées à grande échelle
• Accélérer les enquêtes grâce à la corrélation automatisée des données d'exposition au darknet

« Les équipes qui excellent en sécurité des identités savent précisément où se trouvent les vulnérabilités, peuvent les gérer à grande échelle, fonctionnent avec des responsabilités clairement définies et s'adaptent en permanence plutôt que de simplement réagir », a ajouté Fleury. « L'avenir appartient à ceux qui considèrent l'identité comme une mission essentielle : ils construisent des systèmes capables de détecter rapidement les compromissions, de réagir avec détermination et d'empêcher les acteurs malveillants de lancer de nouvelles attaques, tout en maintenant des effectifs solides et sécurisés. »

Les utilisateurs peuvent cliquer ici pour accéder au rapport complet ou contacter SpyCloud pour en savoir plus.

À propos de SpyCloud

SpyCloud transforme les données récupérées du dark web pour contrer la cybercriminalité. Ses solutions automatisées de protection contre les menaces d'identité s'appuient sur des analyses avancées et l'IA pour prévenir proactivement les rançongiciels et les piratages de comptes, détecter les menaces internes, protéger l'identité des employés et des consommateurs, et accélérer les enquêtes sur la cybercriminalité. Les données de SpyCloud issues des violations de données, des appareils infectés par des logiciels malveillants et des tentatives d'hameçonnage réussies alimentent également de nombreuses offres populaires de surveillance du dark web et de protection contre l'usurpation d'identité. Parmi ses clients figurent sept entreprises du Fortune 10, ainsi que des centaines d'entreprises mondiales, d'ETI et d'agences gouvernementales du monde entier. Basée à Austin, au Texas, SpyCloud compte plus de 200 experts en cybersécurité dont la mission est de protéger les entreprises et les consommateurs contre les données d'identité volées que les criminels utilisent actuellement pour les cibler.

Pour en savoir plus et obtenir des informations sur les données exposées de votre entreprise, les utilisateurs peuvent visiter spycloud.com .

Emily Brown REQ au nom de SpyCloud [email protected]