Passer au contenu principal
Dashlane Logo

Repenser le risque de l’authentification : leçons pour les leaders actuels de la sécurité

|Frederic Rivain
Rethinking Authentication Risk: Lessons for Today’s Security Leaders

Il y a quelques semaines, j'ai eu l'honneur de prendre la parole lors de la conférence ISACA 2025 en Amérique du Nord à Orlando.

Représentant Dashlane devant plus de 200 professionnels de l'informatique et de la sécurité, j'ai partagé des informations sur l'évolution du paysage des menaces pour l'authentification et sur la façon dont nous, en tant que secteur, devons répondre.

Dashlane CTO Frederic Rivain speaks to a packed room of IT and security professionals at the ISACA 2025 North America Conference in Orlando in May 2025. His talk covered the future of authentication and the evolving threat landscape.

Chez Dashlane, nous croyons profondément en la puissance de l'apprentissage auprès de ses pairs. Les événements du secteur tels que l'ISACA ne visent pas seulement à présenter des outils ou des politiques. Il s'agit d'un échange d'enseignements, de succès et d'erreurs du monde réel qui nous aident tous à nous améliorer dans notre travail.

Le rythme du changement dans la cybersécurité est incessant, et rester en avance signifie apprendre constamment des bonnes pratiques des autres.

Laissez-moi vous présenter ce que j'ai partagé au cours de la session, en commençant par une histoire qui illustre de manière saisissante ce qui peut mal tourner lorsque la sécurité des identifiants est défaillante.

Le piratage Disney : un signal d'alarme

Reconnaissez-vous le nom de Matthew Van Andel ? C'est un ancien employé de Disney qui est devenu le point d'entrée involontaire d'une faille majeure des systèmes d'entreprise de Disney en 2024, en particulier de leur environnement Slack.

Voici ce qui est arrivé :

A diagram shows the five steps that an attacker took to hack Disney. First, Disney employee Matthew Van Andel downloaded a compromised AI tool on GitHub, then the attacker put a keylogger on his personal computer. Next, the attacker got access to Van Andel’s credential vault, which wasn’t protected by 2FA. After that, the attacker got access to Disney’s Slack on Van Andel’s personal computer and hacked Disney.

Van Andel a téléchargé un outil d'IA apparemment inoffensif à partir de GitHub sur son ordinateur personnel. Ce paquet était malveillant et incluait un enregistreur de frappe.

Le logiciel malveillant de l'enregistreur de frappe surveillait discrètement son activité, exfiltrant finalement le contenu de son coffre-fort d'identifiants. Comme Van Andel avait également accès à Slack de Disney à partir de cet ordinateur personnel, le pirate a utilisé ses identifiants pour se déplacer latéralement dans les systèmes internes de Disney.

C'est un exemple de la façon dont l'accès aux appareils personnels, un isolement médiocre et un manque de contrôles des terminaux peuvent se combiner pour créer un risque important.

Qu'est-ce qui aurait dû être fait différemment ? Il n'y a pas de solution facile, mais quelques principes fondamentaux se distinguent :

  • Surveiller et contrôler les applications et les paquets installés sur les appareils professionnels
  • Déployer une protection des terminaux capable de détecter les logiciels malveillants et les comportements suspects
  • Appliquer l'authentification multifacteur (AMF), en particulier sur les outils sensibles tels que les gestionnaires d'identifiants
  • Restreindre l'accès aux systèmes sensibles de l'entreprise à partir d'appareils personnels non gérés

En fin de compte, la sécurité consiste à réduire les risques et à minimiser la zone d'impact. C'est notre travail en tant que professionnels de l'informatique et de la sécurité.

Le paysage des menaces en pleine expansion : l'authentification à l'ère de l'IA

Aucune discussion sur les risques de sécurité modernes n'est complète sans mentionner l'IA.

L'IA a suralimenté le phishing. Aujourd'hui, les pirates peuvent créer des e-mails de phishing hautement convaincants et personnalisés à grande échelle. Selon notre rapport Dashlane sur l'état de la sécurité des identifiants 2025 :

  • 74 % des responsables informatiques affirment que l'IA a augmenté les menaces de sécurité relatives aux identifiants
  • 88 % des employés signalent une augmentation des tentatives de phishing
  • 84 % des responsables informatiques mentionnent une augmentation du volume et de la sophistication du phishing, ou des deux

Le dernier rapport d'investigation sur les failles de données de Verizon montre une tendance similaire. L'IA redéfinit la boîte à outils des pirates, et rapidement.

A graph shows that the percentage of AI-assisted malicious emails has risen steadily, going from around 5% in 2022 to around 10% in 2025. This data is according to the 2025 Verizon Data Breach Investigations Report.
Le pourcentage d'e-mails malveillants assistés par l'IA au fil du temps, comme le montre le rapport d'enquête de Verizon sur les failles de données de 2025

Mais ce n'est pas le seul risque de l'IA. L'IA fantôme, l'utilisation non autorisée des outils d'IA sur le lieu de travail, est une autre menace croissante. Un rapport Cyberhaven de 2024 a révélé que la grande majorité de l'utilisation de l'IA en entreprise se faisait via des comptes personnels. Cela signifie que les requêtes, les données et les identifiants potentiellement sensibles sont envoyés à des modèles d'IA destinés aux consommateurs sans aucune surveillance organisationnelle.

Dans les propres données agrégées de Dashlane, DeepSeek, un outil d'IA avec certaines implications préoccupantes sur les licences et la sécurité, est devenu la deuxième application GenAI la plus utilisée parmi nos clients. La vitesse d'adoption dépasse celle de la politique, et c'est dangereux.

Les limites floues du travail hybride

Les environnements de travail hybrides post-pandémie compliquent encore plus la sécurité des identifiants. Les employés combinent maintenant régulièrement vie personnelle et professionnelle, tant au niveau des appareils qu'au niveau des lieux. Le Shadow IT est omniprésent. La gestion des appareils est incohérente. Les contrôles d'accès sont souvent en retard par rapport à la réalité.

Cela crée des lacunes de visibilité qui rendent presque impossible pour les équipes informatiques et de sécurité de repérer les comportements risqués, jusqu'à ce qu'il soit trop tard.

Il est essentiel de surveiller les modèles d'authentification, en particulier sur les services non SSO. Les systèmes proactifs qui font apparaître une utilisation inhabituelle des identifiants peuvent vous aider à détecter les menaces avant qu'elles ne deviennent des failles.

La sécurité des identifiants reste le problème principal

Bien que l'authentification multifacteur et le SSO soient utiles, ces méthodes ne sont pas exhaustives. Notre recherche montre que 37 % des applications d'entreprise ne sont toujours pas protégées par SSO. Cela n'inclut pas l'informatique fantôme (Shadow IT) ou les services aux consommateurs utilisés par les employés au travail.

Même les gestionnaires de mots de passe, bien qu'essentiels, ne peuvent pas résoudre le problème à eux seuls.

La sécurité des identifiants est toujours au cœur de la plupart des failles. Et la situation ne s'améliore pas, l'IA, le travail à distance et la fatigue des employés aggravant le problème.

A blue bar graph shows how the average cost of a breach has increased from around 8,750,000 in 2015 to 12,500,000 in 2025, according to data from IBM. Overlaid on the blue bar graph is a red line graph showing that the breach volume has increased from around 3,000,000 in 2015 to around 12,000,000 in 2025, according to data from Verizon.
Le coût moyen d'une faille et le volume des failles ont tous deux tendance à la hausse depuis 2015, selon les données d'IBM et de Verizon.

La visibilité d'abord, puis l'action

La première étape pour résoudre ce problème est d'obtenir une visibilité. Vous ne pouvez pas réparer ce que vous ne voyez pas. Le shadow IT, l'IA parallèle et les comportements liés aux identifiants non gérés doivent être mis en lumière, non seulement pour des raisons de remédiation, mais pour justifier les ressources et les investissements.

L'un de nos clients a récemment découvert, via la détection des risques liés aux identifiants de Dashlane, que son propre PDG utilisait des identifiants compromis sur des sites Web personnels. Ce fut le moment où le leadership s'est vraiment engagé. Les données réelles stimulent l'action.

A laptop screen shows Dashlane’s Credential Risk Detection and Insights. There are credential security statistics on the screen, including the amount of at-risk passwords at an organization.
La détection des risques liés aux identifiants de Dashlane donne aux entreprises une visibilité en temps réel sur les mots de passe faibles et compromis pour tous les employés, même s'ils n'utilisent pas Dashlane, ainsi que des informations exploitables.

De plus, les employés doivent être invités à recevoir des alertes automatisées dans leur flux de travail quotidien qui les informent sur leurs mots de passe compromis, faibles et réutilisés et sur la façon de prendre des mesures. Ceci est possible avec la fonctionnalité Nudges de Dashlane.

Les Nudges ont montré un impact réel : 75 % des entreprises qui les utilisent ont constaté une amélioration de l'hygiène des mots de passe et une réduction du risque lié aux identifiants.

En interne, nous avons constaté la même chose. Les employés de Dashlane, bien qu'ils travaillent pour une entreprise de sécurité, avaient également des identifiants faibles ou réutilisés. Au cours de l'année écoulée, nous avons activement utilisé nos propres Nudges, ainsi que la détection des risques liés aux identifiants, pour améliorer considérablement l'hygiène interne, et nous continuons à suivre les progrès.

L'IA ne résoudra pas les risques d'authentification induits par l'IA

Je ne suis pas convaincu que l'IA sera la solution miracle face aux défis de l'authentification. Au contraire, les systèmes d'IA agentiques émergents peuvent élargir davantage la surface d'attaque.

La vraie solution ? Éliminez le lien le plus faible : les mots de passe.

Adopter des solutions résistantes au phishing sans mots de passe est la seule voie viable à suivre. Nous avons été ravis de voir Microsoft annoncer que les nouveaux comptes seront par défaut sans mots de passe.

En tant que membre de l'alliance FIDO, Dashlane soutient fermement l'adoption des clés d'accès, des identifiants sécurisés et sans mots de passe résistants au phishing et au bourrage d'identifiants. Et nous ne sommes pas les seuls : 76 % des responsables informatiques affirment que leur direction plaide activement en faveur de l'adoption des clés d'accès.

 Si vous n'avez pas encore commencé à déployer les clés d'accès, c'est le moment. Vous pouvez même nous rejoindre pour signer le serment des clés d'accès FIDO.

Confidentialité et sécurité dès la conception

Les solutions d'identité fortes ne suffisent pas. Nous avons besoin de systèmes qui sont confidentiels et sécurisés par défaut.

Cela signifie que les données sensibles doivent être chiffrées non seulement au repos et en transit, mais également lors de l'utilisation. Chez Dashlane, nous utilisons l'informatique confidentielle et des enclaves cloud sécurisées pour nous assurer de ne jamais avoir accès aux données des clients, même lors de leur traitement.

Ce n'est pas seulement une bonne pratique, c'est un avantage concurrentiel. La confidentialité dès la conception réduit la responsabilité et aide à répondre aux attentes de conformité et de réglementation.

La sécurité, quant à elle, signifie créer des garde-fous qui empêchent les erreurs avant qu'elles ne se produisent avec des tactiques telles que :

  • l'accès avec le moindre privilège
  • l'authentification forte (SSO + MFA + gestion de mots de passe)
  • des flux de travail d'intégration et de retrait clairs
  • des politiques d'appareil qui séparent l'utilisation travail de l'utilisation personnelle

En d'autres termes : ne comptez pas sur les employés qui suivent eux-mêmes toutes les bonnes pratiques de sécurité, ainsi que sur la formation occasionnelle à la sécurité. Intégrez la sécurité à vos systèmes.

La culture est la dernière couche

La sécurité n'est pas seulement un problème technologique, c'est un problème culturel. Vous ne pouvez pas remédier à l'apathie ou à la négligence accidentelle des utilisateurs.

L'éducation est toujours importante, mais la narration l'est également. Chez Dashlane, nous avons ouvertement discuté du piratage de Disney pour montrer aux employés ce qui est en jeu. La leçon : les bonnes intentions ne vous protègent pas des conséquences.

Les entreprises les plus efficaces créent des cultures où la sécurité est l'affaire de tous. Où les tentatives de phishing sont signalées précocement. Où l'équipe financière ne tombe pas sous le coup des escroqueries ciblant les PDG. Où les dirigeants donnent l'exemple.

Derniers enseignements

Pour terminer, voici les actions clés que j'ai encouragé le public de l'ISACA à entreprendre, et je vous encourage à faire de même :

  • traiter la sécurité des identifiants comme un risque organisationnel de premier niveau
  • obtenir une visibilité complète sur l'utilisation des identifiants, au-delà de SSO
  • corriger les causes profondes plutôt que de se contenter d'un correctif réactif
  • passer à une authentification sans mots de passe et résistante au phishing
  • intégrer la confidentialité et la sécurité dès le début, pas après coup

Il n'existe pas de solution miracle, mais il existe des pratiques éprouvées. Continuons à apprendre les uns des autres, à relever la barre et à créer des systèmes conçus pour être sécurisés par défaut.

Inscrivez-vous pour connaître toute l'actualité de Dashlane