Secu
L’identité, le nouveau périmètre de la défense contre les ransomwares
Par La rédaction, publié le 04 février 2026
Les ransomwares ont changé de nature : la compromission ne passe plus d’abord par la faille, mais par l’usurpation d’identité et l’ingénierie sociale. Avec le vishing et le contournement des procédures de support, l’identité devient le périmètre critique. Cette bascule impose une réponse de gouvernance, au-delà des seuls contrôles techniques.
Par Jamie Collier, conseiller principal en renseignement sur les menaces (Europe), Google Threat Intelligence Group
Les ransomwares sont passés du statut de simple nuisance opérationnelle, cantonnée aux équipes informatiques, à celui de risque stratégique majeur pour les organisations. Les campagnes récentes menées par des groupes tels que UNC3944, également connu sous le nom de Scattered Spider, illustrent clairement cette évolution : les attaquants ne s’appuient plus prioritairement sur des failles techniques, mais sur l’ingénierie sociale et l’usurpation d’identité.
Ces évolutions doivent servir d’alerte aux conseils d’administration. L’identité est devenue le nouveau périmètre de sécurité, et le rôle de la gouvernance dans sa protection n’a jamais été aussi déterminant.
L’évolution du ransomware
Les attaques attribuées à Scattered Spider se sont rapidement propagées à de nombreux secteurs, du commerce de détail au Royaume-Uni aux compagnies d’assurance et d’aviation aux États-Unis. Leurs campagnes ont entraîné des interruptions d’activité majeures, des pertes de données clients et des dommages réputationnels durables. Mais surtout, elles mettent en lumière la capacité des attaquants à contourner entièrement les défenses techniques traditionnelles.
L’une de leurs méthodes les plus efficaces est l’hameçonnage vocal (vishing). En se faisant passer pour des employés, les attaquants persuadent les services d’assistance de réinitialiser des identifiants ou de modifier les paramètres d’authentification multifacteur. Ils peuvent ainsi enregistrer leurs propres appareils comme moyens d’authentification légitimes et obtenir un accès direct aux systèmes de l’entreprise.
Cette approche remet en cause l’idée selon laquelle l’authentification multifacteur, à elle seule, constitue une barrière suffisante. Elle met également en évidence la vulnérabilité des processus humains lorsqu’ils échappent au contrôle direct des équipes de sécurité.
Les cibles ont elles aussi évolué. Les attaquants ne se concentrent plus uniquement sur des infrastructures obsolètes : ils exploitent désormais les environnements informatiques modernes. La transformation numérique et la migration vers le cloud élargissent la surface d’attaque, en particulier pour des adversaires capables de naviguer entre environnements sur site et services cloud.
Un seul compte compromis dans un système d’authentification unique peut alors offrir un accès étendu à de nombreuses applications critiques, transformant ce qui aurait été autrefois une intrusion limitée en une compromission à grande échelle.
Au cœur de ces campagnes se trouve l’instrumentalisation de l’identité. Les opérateurs de ransomwares s’appuient de plus en plus sur des identifiants légitimes plutôt que sur des logiciels malveillants sophistiqués ou des exploits spécifiques. La conclusion est sans appel : la protection de l’identité est désormais la ligne de défense la plus critique.
Un rôle stratégique pour les conseils d’administration
Les conseils d’administration occupent une position unique pour relever ce défi. La sécurité des identités ne peut plus être considérée comme une responsabilité exclusivement technique. Elle requiert des investissements ciblés, une harmonisation culturelle et un engagement transversal au sein de l’organisation — autant de leviers qui relèvent directement de la gouvernance.
Parmi les actions les plus efficaces que les conseils peuvent impulser :
* Accorder à l’identité la même importance stratégique qu’aux contrôles périmétriques traditionnels, en déployant des méthodes d’authentification résistantes au phishing, en renforçant les procédures des services d’assistance et en menant des actions régulières de sensibilisation des collaborateurs.
* Promouvoir une posture de sécurité fondée sur le renseignement sur les menaces, en veillant à ce que les investissements soient alignés sur les tactiques réelles des adversaires et soutenus par des initiatives telles que des guides de durcissement ou des exercices d’équipe rouge.
* Intégrer la gestion du cyber-risque dès la conception des projets de transformation numérique, en exigeant que la sécurité accompagne l’innovation et l’adoption du cloud, plutôt que d’être ajoutée a posteriori.
Favoriser la confiance et la résilience
L’avenir de la résilience des entreprises repose sur le dépassement d’une approche purement réactive. L’évolution rapide des ransomwares démontre qu’une réponse exclusivement technique est désormais insuffisante. Les administrateurs doivent intégrer le risque cyber à leurs responsabilités de gouvernance afin de faire de la sécurité un socle de résilience, d’innovation et de croissance durable.
L’identité n’est plus un sujet réservé aux équipes informatiques. Elle est devenue le centre de gravité de la cybersécurité et, à ce titre, une priorité stratégique pour l’ensemble des organisations. Les conseils d’administration qui comprennent cette évolution et agissent avec détermination peuvent non seulement mieux protéger leur entreprise contre la menace croissante des ransomwares, mais aussi instaurer la confiance indispensable pour prospérer dans l’économie numérique.
À LIRE AUSSI :
À LIRE AUSSI :
