Atténuer les risques liés aux identités non humaines

Les sociétés à capital fermé canadiennes doivent renforcer la cybersécurité dans le contexte de volatilité.

Ey reframe your future digital city
EY Canada

Organisation de services professionnels multidisciplinaires

8 minutes de lecture 06 août 2025
Sujets connexes
Produits de consommation
Cybersécurité

Auteurs : Anastasia Lou Regen et Prakhar Arora

Dans le contexte actuel d’expansion de la cybersécurité, le fait pour une organisation de ne pas sécuriser les identités non humaines (NHI) peut accroître sa vulnérabilité, mettre en péril ses affaires et amplifier son exposition aux risques.

En bref 

  • Dans un monde de plus en plus dépendant de la technologie, la prolifération des identités non humaines (NHI) ouvre la porte aux auteurs de menace qui cherchent à obtenir l’accès aux organisations et à voler leurs données.
  • Les NHI insuffisamment sécurisées peuvent créer des vulnérabilités, alors que la mise en place de politiques et de stratégies pour sécuriser les NHI et les comptes de service permettra de réduire les risques. 
  • Apprenez‑en plus sur les risques et les possibilités en jeu lorsque les organisations sécurisent leurs NHI pour garder une longueur d’avance dans un cyberpaysage en pleine évolution.

Elles sont là, elles sont partout. Elles authentifient des services et des ressources. Elles tiennent des conversations silencieuses. Elles exécutent des tâches et soutiennent les flux de travail. Souvent conçues pour nous ressembler ou se comporter comme nous, elles ne sont pas non plus humaines et ainsi ne déclenchent pas d’alarme et restent confortablement tapies dans l’ombre.

Loin de représenter une menace, les identités non humaines (NHI) ont été un atout pour les entreprises qui évoluent dans un monde en mutation. Dans le contexte actuel marqué par l’évolution et la prolifération des technologies opérationnelles, allant des plateformes infonuagiques à l’IA en passant par l’automatisation et l’intégration du développement et de l’exploitation et l’Internet des objets (IdO), les organisations de consommateurs et de fabrication s’appuient de plus en plus sur des « travailleurs » numériques qui automatisent, rationalisent, livrent la marchandise rapidement et de manière fiable, et favorisent la collaboration et la communication entre les équipes, les opérations et les consommateurs. 

Les NHI sont de plus en plus utilisées comme des employés numériques, qu’on parle des comptes de service et des scripts ou encore des interfaces de protocole d’application en passant par les robots et les appareils intelligents. Par exemple, dans les magasins d’alimentation et de détail d’aujourd’hui, les NHI permettent de suivre en temps réel les stocks de plusieurs fournisseurs, de suggérer des produits de substitution, de gérer des listes d’achats personnalisées et de coordonner la logistique de livraison. Pour ce faire, elles doivent disposer d’un accès large et continu aux systèmes et aux données sensibles – souvent plus qu’un utilisateur humain.

Dans l’exploitation des entreprises modernes, les NHI sont à la fois partout et nulle part, du moins en apparence. Or, chaque fois que votre site Web communique avec une passerelle de paiement, que votre application mobile se connecte à une base de données de produits ou que votre moteur d’IA fonctionne, c’est une identité numérique qui est à l’œuvre. Chacune d’entre elles possède ses propres identifiants, clés, jetons ou certificats de connexion qui valident les informations et autorise l’accès à des informations vitales.

Souvent imperceptibles et rarement suivies ou examinées, les NHI peuvent rester actives pendant des années, disposant d’un accès plus large et plus privilégié que la plupart des organisations ne voudraient l’admettre. Lorsque la sécurité est inadéquate, les milliers de points de contact de la NHI créent des angles morts vulnérables et des cibles plus faciles à pénétrer pour les cybercriminels. Il suffit d’une seule compromission, d’une seule ouverture dont l’identité n’est pas sanctionnée ou non détectée – comme une fuite de clé API, un certificat expiré ou un compte dont le mot de passe n’a pas été renouvelé depuis des années – pour ouvrir grand la porte à un accès non autorisé et déclencher une violation de données ou une panne de système. Ce seul incident peut avoir des conséquences graves et durables sur votre réputation et la confiance de vos clients. 

Selon une étude récente, le nombre de NHI dépasse désormais de loin celui des utilisateurs humains, soit 50 pour 1.  La même étude révèle que 40 % des NHI dans le nuage n’ont pas de propriétaire identifié et que seulement 5,7 % des organisations ont une vision claire de toutes les NHI dans leur environnement2.  En se fondant sur ces statistiques, il ne fait aucun doute que les NHI ne sont pas suffisamment observées ou protégées et ont trop de privilèges3.  

Qu’il s’agisse de travailler avec une IA styliste pour trouver les vêtements les mieux adaptés à votre morphologie ou à votre couleur, ou de permettre à un robot en arrière-scène de faire le suivi de vos achats, des articles échangés ou disponibles chez un détaillant en ligne, la sécurité contre les intrusions est – et sera toujours – d’une importance capitale.

Les NHI compromises – en particulier les comptes de service – jouent un rôle crucial dans les mouvements latéraux au sein d’un réseau. Les attaquants utilisent ces comptes pour accéder à plusieurs appareils et lancer la charge d’un rançongiciel. Par exemple, un groupe de rançongiciel, appelé Hellcat, a exposé les informations d’identification des NHI d’une entreprise de vente au détail. 

Il est donc devenu aussi essentiel de sécuriser vos NHI que de protéger l’accès accordé à vos employés. 

Dans un sondage auprès du personnel de direction effectué récemment par SailPoint, 54 % des cadres interrogés ont admis qu’un accès inapproprié accordé à un non-employé ou à un non-humain avait entraîné un grave problème de sécurité, notamment la perte de contrôle des ressources de l’entreprise, la perte de données, la compromission de la propriété intellectuelle ou une violation directe de la sécurité4.  

Pour protéger les données et les activités dans l’avenir, il sera essentiel que les NHI soient détectables, étroitement surveillées et gérées de manière sécuritaire. Dans le cas contraire, les conséquences des fuites et des demandes d’extorsion pourraient bien commencer à sembler apocalyptiques.

Comment EY peut vous aider

Et ce n’est qu’un début

S’il est vrai que les NHI peuvent améliorer l’efficacité opérationnelle, réduire les tâches répétitives, améliorer la précision et faire gagner du temps tout en économisant, effectuer le suivi des travailleurs numériques dans les services, les équipes et les plateformes peut représenter une tâche décourageante. 

 

Ce sont les machines qui font fonctionner les entreprises numériques, depuis les applications mobiles jusqu’aux systèmes de la chaîne d’approvisionnement. En coulisses, les travailleurs numériques prennent des décisions cruciales et traitent des données sensibles. Et lorsque les machines sont plus nombreuses que les humains, une surveillance est nécessaire pour toujours savoir qui – ou ce qui – a accès aux systèmes et aux informations.

 

En outre, les lois sur la protection de la vie privée et les normes industrielles exigent que les entreprises traitent les identités des machines avec la même attention que les identités humaines, faute de quoi elles s’exposent à des sanctions sévères. Les exigences réglementaires en matière de sécurisation des données sensibles s’étendent à l’accès automatisé. S’il y a omission de régir les identités non humaines, il pourrait s’ensuivre une violation des lois sur la protection de la vie privée, comme le Règlement général sur la protection des données (RGPD) en Europe, ou des normes industrielles comme la Norme de sécurité des données du secteur des cartes de paiement (PCI DSS).

 

Et pourtant, selon une enquête de la Cloud Security Alliance, seuls 15 % des professionnels de l’informatique et de la sécurité sont convaincus qu’ils sécurisent efficacement les NHI, et une organisation sur cinq a déjà été victime d’une violation liée aux NHI5.  À l’heure où les stratégies des auteurs de menace deviennent de plus en plus sophistiquées, accorder la même attention à vos employés numériques et humains vous permettra d’améliorer grandement la protection future de votre organisation.

Innovation rapide, contrôles intelligents

Alors que les NHI deviennent un élément central du réseau numérique des organisations de produits de consommation et de vente au détail, les entreprises qui prendront les devants pour les sécuriser définiront la nouvelle référence en matière de confiance, de résilience et d’agilité opérationnelle. 

Pour aider les organisations à transformer les risques liés à l’identité en un avantage stratégique, nous proposons un guide de six recommandations à suivre pour réduire la surface d’attaque, renforcer les points vulnérables et assurer le contrôle intelligent des NHI : 

1. Définir avec un objectif précis

Élaborer une stratégie claire de gestion des NHI et des identifiants des non‑utilisateurs pour l’ensemble de l’organisation, une stratégie qui va au‑delà de la politique et qui intègre la sécurité dans chaque interaction numérique. Il s’agit notamment d’évaluer votre situation actuelle, de définir l’état final souhaité et d’élaborer une feuille de route de transformation pour vous permettre d’atteindre vos objectifs.

2. Éclairer les zones d’ombre

La plupart des entreprises de produits de consommation et de vente au détail n’ont aucune idée de l’ampleur de ce qu’elles ne voient pas. Démasquer et cartographier les informations d’identification privilégiées et les NHI dans les écosystèmes hybrides et infonuagiques multiples, y compris celles cachées dans les intégrations tierces, les connexions API et les plateformes périphériques comme les points de vente, où les prédateurs sont déjà à l’affût.

3. Repenser le risque

Toutes les NHI ne peuvent pas faire l’objet d’une rotation ou être gérées, mais toutes peuvent être protégées. Concevoir des traitements sur mesure, fondés sur le risque, pour les comptes difficiles à gérer en misant sur les contrôles compensatoires, la segmentation, des déclencheurs de comportement et des informations sur l’utilisation.

4. Automatiser à grande échelle

La gestion manuelle est l’ennemi de la rapidité et de la sécurité. Mettre en œuvre une automatisation évolutive pour régir le cycle de vie des NHI – approvisionnement, rotation, mise hors service – en mettant l’accent sur la réduction de l’approvisionnement excessif, de la prolifération des superutilisateurs et de la dérive des politiques.

5. Les régir comme si elles étaient humaines

Bien que les NHI ne soient pas des personnes, elles doivent être gérées comme si elles l’étaient. Intégrer des examens continus de l’accès, renforcer la surveillance et l’application du principe du moindre privilège afin que les NHI ne fassent que ce qu’elles sont censées faire et rien de plus.

6. Intégrer la conformité dès la conception

La gouvernance des identités de votre organisation doit être conforme aux exigences réglementaires propres au secteur, comme la norme PCI DSS, en intégrant aux cadres de gouvernance la surveillance continue des contrôles, la préparation à l’audit et la responsabilité interfonctionnelle.


Résumé

Si les NHI constituent des avantages importants au sein de l’exploitation, des ventes, des services et de la maintenance, les risques illimités associés au contexte actuel des cybermenaces basées sur l’identité peuvent en faire une menace interne. Les organisations dotées de programmes de sécurité et d’une gouvernance solides, ainsi que d’un programme de surveillance et de contrôles adéquat, peuvent éviter des cyberincidents potentiellement catastrophiques.

Articles connexes

Cybersécurité : comment passer de la protection de la valeur à la création de valeur?

Selon l’étude Global Cybersecurity Leadership Insights Study de 2025 d’EY, les chefs de la sécurité de l’information représentent 36 millions de dollars américains pour chaque initiative stratégique à laquelle ils participent. En savoir plus.

EY Canada

Les entreprises à capital fermé du Canada doivent renforcer la cybersécurité pour faire face à la volatilité

Découvrez comment les entreprises à capital fermé du Canada peuvent atténuer les cyberrisques grâce à une stratégie intégrée du type « évaluer, protéger, intervenir ». Apprenez‑en plus.

Tony Ritlop

La résilience pourrait être le prochain grand moteur de valeur du secteur du commerce de détail.

L’avenir du commerce de détail : cultiver la résilience au nom de la croissance et de la rentabilité

EY Canada

    À propos de cet article

    Ey reframe your future digital city
    EY Canada
    Organisation de services professionnels multidisciplinaires
    Sujets connexes
    Produits de consommation
    Cybersécurité

    EY désigne l’organisation mondiale des sociétés membres d’Ernst & Young Global Limited, et peut désigner une ou plusieurs de ces sociétés membres, lesquelles sont toutes des entités juridiques distinctes. Ernst & Young Global Limited, société à responsabilité limitée par garanties du Royaume‑Uni, ne fournit aucun service aux clients.