What percentage of organizations experienced an identity-related breach in the past year according to Sophos?

71% of organizations worldwide suffered at least one identity-related security breach in the past year.

How do identity-based breaches differ from traditional network intrusions?

Rather than breaking through a firewall, attackers compromise credentials or tokens to gain legitimate-looking access, making detection slower and remediation more complex.

What are some recent real-world examples of breaches caused by compromised identities?

The Alert 360 breach exposed 2.5 million records, and the Zara breach affected nearly 200,000 customers through a third-party vendor, both stemming from compromised access credentials.

Why are non-human identities like API keys and AI agents becoming prime targets?

They are frequently mismanaged with overly broad permissions, rarely rotated, and inconsistently monitored, making them high-value targets that can persist unnoticed.

What makes API keys in code repositories especially risky?

An API key embedded in a repository can grant attackers access without proper lifecycle management, as these non-human identities often lack regular rotation and monitoring.

Sophos : 71 % des entreprises touchées par des violations d’identité en 2025

Un important nouveau rapport de Sophos met un chiffre frappant sur un problème dont les professionnels de la sécurité mettent en garde depuis des années : 71 % des organisations mondiales ont subi au moins une violation de sécurité liée à l’identité au cours de l’année écoulée. Ces résultats arrivent à un moment où les attaques basées sur l’identité ne sont plus une menace de niche, mais la méthode dominante par laquelle les attaquants prennent pied dans les environnements d’entreprise. Pour les entreprises comme pour les particuliers, ces données indiquent clairement que l’hygiène de l’identité ne peut plus être traitée comme une préoccupation secondaire.

Ce que révèlent les données de Sophos sur la fréquence et l’ampleur des violations d’identité

L’ampleur des conclusions de Sophos est difficile à ignorer. Près de trois organisations sur quatre, tous secteurs et zones géographiques confondus, ont connu une compromission liée à l’identité en une seule année. Il ne s’agit pas d’une histoire de quelques cibles de premier plan ; cela reflète une vulnérabilité systémique et étendue dans la manière dont les organisations gèrent qui, et ce qui, a accès à leurs systèmes.

Les violations liées à l’identité se distinguent des intrusions réseau traditionnelles de manière importante. Plutôt que de franchir un pare-feu, les attaquants compromettent des identifiants ou des jetons qui leur confèrent un accès d’apparence légitime. Une fois à l’intérieur, ils peuvent se déplacer latéralement, élever leurs privilèges et exfiltrer des données tout en paraissant, du moins au début, être un utilisateur autorisé. Cela rend la détection plus lente et la remédiation plus complexe.

Les conséquences réelles des défaillances d’identité ont déjà fait la une des journaux en 2025. La violation d’Alert 360 exposant 2,5 millions d’enregistrements et la violation de Zara touchant près de 200 000 clients via un fournisseur tiers illustrent toutes deux comment des identifiants d’accès compromis, que ce soit par des attaques directes ou via l’exposition de la chaîne d’approvisionnement, peuvent entraîner des pertes massives de données.

Comment les identités non humaines et les clés API deviennent des cibles de choix

L’une des conclusions les plus prospectives du rapport Sophos est l’attention qu’il porte aux identités non humaines. Cette catégorie inclut les clés API, les comptes de service, les scripts d’automatisation et, de plus en plus, les agents d’IA qui obtiennent un accès aux systèmes pour effectuer des tâches de manière autonome.

À mesure que les organisations adoptent des outils basés sur l’IA et automatisent davantage leurs flux de travail, elles créent un inventaire croissant d’acteurs non humains qui détiennent des identifiants et des autorisations. Le problème est que ces identités sont souvent mal gérées : les autorisations sont excessivement étendues, les identifiants rarement renouvelés et la surveillance des comportements anormaux est au mieux irrégulière.

Une clé API intégrée dans un dépôt de code, ou un agent d’IA disposant d’un accès en écriture à une base de données de production, représente une cible de grande valeur pour les attaquants. Contrairement aux comptes d’utilisateurs humains, les identités non humaines manquent souvent de la même gestion du cycle de vie, ce qui signifie qu’elles peuvent persister longtemps après ne plus être nécessaires et passer inaperçues une fois compromises. Le rapport Sophos identifie cette mauvaise gestion comme l’un des principaux vecteurs d’attaque à l’origine du chiffre de 71 %.

Pourquoi l’erreur humaine reste le maillon le plus faible de la sécurité de l’identité

Parallèlement à la montée des risques liés aux identités non humaines, les conclusions de Sophos confirment que l’erreur humaine continue de saper même les programmes de sécurité bien dotés. Le hameçonnage reste remarquablement efficace. La réutilisation d’identifiants entre comptes personnels et professionnels crée des voies permettant aux attaquants de pivoter d’une violation grand public vers un environnement d’entreprise. Et les comptes sur-privilégiés, créés par commodité sans jamais être correctement délimités, donnent aux attaquants un accès plus étendu qu’ils ne devraient jamais pouvoir atteindre.

L’élément humain est également évident dans la rapidité avec laquelle les violations prennent de l’ampleur une fois l’accès initial obtenu. Un seul compte compromis utilisé par une personne disposant de droits administratifs étendus peut exposer des milliers d’enregistrements en quelques heures. Le secteur de la santé s’est révélé particulièrement vulnérable, comme en témoignent des incidents tels que la violation du NYC Health touchant 1,8 million de personnes, où une mauvaise gestion de l’identité à n’importe quel niveau d’un système complexe peut avoir des conséquences démesurées.

Les programmes de formation et de sensibilisation aident, mais ils ne suffisent pas à eux seuls. Les données de Sophos suggèrent que les organisations ont besoin de contrôles structurels qui réduisent le rayon d’impact des erreurs humaines, et pas seulement de politiques qui comptent sur le fait que les employés fassent toujours le bon choix.

Défense en profondeur : la place des VPN et des outils de confidentialité dans la protection de l’identité

Aucun outil unique ne résout le problème de la sécurité de l’identité, et c’est précisément là l’essentiel. Le concept de défense en profondeur, qui consiste à superposer plusieurs contrôles de sécurité de sorte qu’une défaillance de l’un n’entraîne pas automatiquement une compromission totale, est le cadre que les conclusions de Sophos défendent, même implicitement.

Les VPN jouent un rôle spécifique et important dans cet empilement. En chiffrant le trafic réseau et en masquant les métadonnées de connexion, un VPN réduit le risque que les identifiants ou les jetons de session soient interceptés en transit, en particulier sur les réseaux non fiables. Pour les télétravailleurs qui accèdent aux ressources de l’entreprise depuis des hôtels, des aéroports ou des espaces de travail partagés, un VPN est un contrôle de base mais significatif qui ferme une fenêtre autrement ouverte.

Au-delà des VPN, une stratégie de protection de l’identité en couches comprend l’authentification multifacteur sur tous les comptes, le principe du moindre privilège pour les identités humaines et non humaines, l’audit régulier des identifiants et clés API actifs, et la surveillance des schémas de connexion anormaux. Les données de Sophos renforcent le fait qu’il ne s’agit pas de suppléments optionnels pour les grandes entreprises ; les organisations de toutes tailles sont ciblées.

Ce que cela signifie pour vous

Que vous gériez l’informatique d’une entreprise ou que vous soyez simplement un particulier cherchant à protéger vos comptes, le rapport Sophos porte un message direct : l’identité est le nouveau périmètre, et elle doit être défendue en conséquence.

Voici des mesures concrètes à prendre :

Auditez vos identifiants. Identifiez les comptes utilisant des mots de passe réutilisés ou faibles et mettez-les à jour avec des alternatives uniques et complexes stockées dans un gestionnaire de mots de passe.
Activez l’authentification multifacteur partout. Priorisez d’abord vos comptes de messagerie, financiers et professionnels.
Examinez les autorisations des applications et les accès API. Si vous gérez des projets logiciels ou des outils d’entreprise, auditez les services qui détiennent des identifiants actifs et révoquez tout ce qui n’est plus utilisé.
Utilisez un VPN sur les réseaux non fiables. Le chiffrement de votre connexion empêche l’interception des identifiants lorsque vous êtes loin d’environnements sécurisés.
Restez informé des violations. Les services qui vous avertissent lorsque votre adresse e-mail apparaît dans une base de données de violations connues vous donnent une alerte précoce pour renouveler les identifiants affectés avant que les attaquants ne puissent les exploiter.

Le chiffre de 71 % de Sophos n’est pas une raison de paniquer, mais d’agir. Les violations de sécurité liées à l’identité en 2025 ne sont pas des risques hypothétiques ; elles touchent actuellement la majorité des organisations. Construire des défenses en couches, en associant des pratiques d’identité solides à des protections au niveau du réseau, est la réponse pratique que les données exigent.