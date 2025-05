Près de la moitié des applications d'entreprise enfreignent les directives de base en matière de gestion des identifiants, compromettant ainsi les politiques des fournisseurs d'identité centralisés (IdP)

Présentation du rapport d'Orchid Security

48 % : Stockage d'identifiants en clair codés en dur ou utilisation d'un hachage faible

44 % : Chemins d'authentification qui contournent le fournisseur d'identité de l'entreprise

40 % : Absence de contrôles de base tels que la limitation du débit, le verrouillage des comptes et la complexité des mots de passe

37 % : Protocoles d'authentification obsolètes ou non standard

37 % : des applications n'ont pas appliqué les contrôles d'accès de manière complète ou totale

N'oubliez pas que ce parc comprend des applications créées par différents développeurs, à différents moments, à une époque où la technologie, la réglementation et les cyberrisques étaient différents, voire par différentes organisations si des acquisitions faisaient partie de la stratégie de croissance.



Toute approche, mais surtout une approche automatisée, qui offre une vue complète et précise de l'état réel des identités, est extrêmement précieuse pour les RSSI. En particulier lorsqu'elle permet de mettre en évidence tous les flux d'identités codés dans chaque application. Nous savons que de nombreux acteurs malveillants sont habiles à trouver des moyens alternatifs ou oubliés pour pénétrer dans nos organisations, et ce rapport met en évidence les vulnérabilités les plus courantes auxquelles nous devons prêter attention (et remédier).



Les informations partagées ici sont instructives pour tous les professionnels de la cybersécurité.

1. Identifiants stockés de manière non sécurisée : 48 % des applications stockent les identifiants en clair.

Identifiants intégrés dans les bases de code, les fichiers de configuration ou les scripts d'automatisation.

Justification fréquente : « Seuls les humains utilisent l'IdP. Il s'agit de chemins d'accès de système à système. »

Particulièrement courant dans les comptes machine/service et les scénarios NHI (identité non humaine).

2. Utilisation partielle des fournisseurs d'identité (IdP) : 44 % des applications ont des chemins d'authentification qui contournent le fournisseur d'identité (IdP) de l'entreprise.

Chemins de connexion directs ou locaux non gérés par des politiques globales.

Souvent justifié par : « Nous devions fournir un accès aux sous-traitants ou aux fournisseurs. »

Courant dans les applications avec des répertoires autonomes ou hérités.

3. Absence de contrôles d'identité de base : 40 % des applications ne disposent pas de contrôles de base tels que la limitation du débit, le verrouillage des comptes et la complexité des mots de passe.

Absence d'application des règles de base en matière de connexion.

Variabilité entre les équipes de développement et les bases de code.

Fréquent dans les outils développés en interne ou hérités.

4. Protocoles d'authentification obsolètes : 37 % des applications utilisent des protocoles d'authentification obsolètes ou non standard.

Utilisation de FTP, NTLM et de systèmes de jetons personnalisés.

Courant dans les piles d'applications de niche ou héritées.

Souvent un sous-produit de la dette technique ou de l'autonomie des développeurs.

5. Application des contrôles d'accès, un manquement à l'hygiène : 37 % des applications n'ont pas appliqué les contrôles d'accès de manière cohérente, voire pas du tout.

Cas où « tous les utilisateurs » avaient un accès complet.

Applications sans contrôle des autorisations.

Mauvaises configurations permettant un accès anonyme.

La géographie semble influencer les pratiques. Les équipes de développement européennes semblent relativement plus rigoureuses dans la mise en œuvre des contrôles d'identité fondamentaux. D'après certaines anecdotes, cela pourrait s'expliquer par l'utilisation structurée, bien que souvent restrictive, d'Active Directory pour l'authentification et l'autorisation.



Malgré ces différences régionales, d'importantes lacunes et failles dans la mise en œuvre des contrôles d'identité restent très répandues.



La géographie semble influencer les pratiques. Les équipes de développement européennes semblent relativement plus rigoureuses dans la mise en œuvre des contrôles d'identité fondamentaux. D'après certaines anecdotes, cela pourrait s'expliquer par l'utilisation structurée, bien que souvent restrictive, d'Active Directory pour l'authentification et l'autorisation.

Malgré ces différences régionales, d'importantes lacunes et failles dans la mise en œuvre des contrôles d'identité restent très répandues.

Compte tenu des risques cybernétiques et de conformité associés à l'absence de contrôles de sécurité des identités, nous recommandons vivement aux entreprises d'évaluer régulièrement et de manière plus complète leur posture de sécurité des identités dans toutes les applications et tous les flux d'identités. Cette évaluation doit aller au-delà des meilleures pratiques établies et inclure des examens approfondis, au niveau du code et axés sur l'ingénierie, afin de mettre au jour les mécanismes d'identité cachés et les vulnérabilités négligées.



La sécurité des applications d'entreprise est l'un des domaines les plus critiques. En 2024, une étude a révélé que 92 % des entreprises interrogées ont subi une violation au cours de l'année écoulée en raison des vulnérabilités des applications développées en interne. Le rapport indiquait qu'avec plus de logiciels à sécuriser, déployés dans plus d'environnements et moins de temps disponible pour les sécuriser, 91 % des entreprises ont sciemment publié des applications vulnérables.Récemment, un nouveau rapport a révélé l'état de la sécurité des applications d'entreprise. Le rapport d'Orchid Security montre que près de la moitié des applications d'entreprise enfreignent les directives de base en matière de gestion des identifiants, 44 % compromettant les politiques des fournisseurs d'identité centralisés (IdP) et 40 % ne respectant pas les normes largement acceptées en matière de contrôle des identités.Orchid a analysé les flux d'authentification et les pratiques d'autorisation profondément intégrés dans les applications d'entreprise et a trouvé des identifiants en texte clair dans près de la moitié d'entre elles. Ceux-ci sont généralement associés à des flux d'accès alternatifs, souvent pour des comptes non humains, mais ils constituent également une cible facile pour les acteurs malveillants qui cherchent à s'introduire ou à se déplacer latéralement.Bien que les IdP soient très courants dans les entreprises et constituent un outil précieux pour centraliser les pratiques d'authentification sécurisées, l'étude révèle que dans 44 % des cas, aucun IdP n'était utilisé par au moins un chemin d'authentification proposé par l'application.Les meilleures pratiques de base pour maintenir la sécurité des identités comprennent la surveillance et même le contrôle du taux de tentatives de connexion, la mise en place d'un verrouillage du compte après un certain nombre de tentatives infructueuses, l'application de règles de complexité des mots de passe, la configuration de la durée de vie des jetons, etc. Pourtant, le rapport montre que chacune de ces mesures est absente dans environ 40 % des cas.", déclare Roy Katmor, PDG et cofondateur d'Orchid Security. "Pour remédier à ce problème, les entreprises peuvent utiliser divers outils et méthodes courants afin d'évaluer les risques liés à la sécurité des identités dans leur environnement. Il s'agit notamment des tests de sécurité statiques des applications (SAST), des revues d'architecture, des tests de pénétration et de l'utilisation de la gestion des informations et des événements de sécurité (SIEM) pour surveiller les applications.", ajoute Katmor. "Pour rappel, un rapport de Digital.ai en mars 2025 a montré que les attaques d'applications ont bondi à 83 % en janvier 2025, contre 65 % en 2024, ce qui soumet les équipes de sécurité à une pression immense alors que le développement des applications s'accélère. La surface d'attaque croissante n'augmente pas seulement le nombre total d'attaques en raison d'une couverture de sécurité incomplète, mais fournit également un terrain fertile pour les acteurs de la menace.Alors que de nombreuses organisations pensent avoir « couvert l'identité », les évaluations au niveau des applications révèlent systématiquement des faiblesses critiques, allant de la mauvaise gestion des identifiants et des flux d'authentification non sécurisés à l'utilisation inappropriée des protocoles et aux lacunes dans l'application des contrôles essentiels.Les vulnérabilités les plus courantes en matière de sécurité des identités, avec leur prévalence, étaient les suivantes :Une mesure de contrôle fondamentale consistant à sécuriser correctement les identifiants au sein des applications est souvent ignorée. Près de la moitié des applications analysées s'appuient encore sur des identifiants codés en dur ou stockés de manière inappropriée.Ces identifiants sont faciles à collecter, difficiles à renouveler et souvent partagés entre les systèmes. S'ils sont exposés, même brièvement, ils peuvent devenir des points d'ancrage à fort impact pour les attaquants et constituent un vecteur courant pour les mouvements latéraux et l'accès persistant.Un contrôle clé consistant à acheminer toutes les authentifications via un fournisseur d'identité centralisé n'est pas appliqué de manière cohérente. Dans 44 % des cas, les applications avaient au moins un chemin d'accès qui contournait l'IdP de l'entreprise.Ces chemins ont tendance à être des angles morts complets, ce qui en fait des cibles idéales pour les attaquants qui peuvent les exploiter en toute discrétion à l'aide d'identifiants souvent obsolètes ou oubliés.De nombreux contrôles essentiels tels que la limitation du taux de connexion, le verrouillage des comptes et la complexité des mots de passe sont absents de nombreuses applications. 40 % des systèmes ne disposaient pas d'une ou plusieurs de ces protections.Sans ces contrôles, les pirates ont plus de possibilités de tester par force brute ou de tester les identifiants volés.De nombreuses entreprises continuent de s'appuyer sur des protocoles d'authentification obsolètes. 37 % des cas incluaient des approches non sécurisées ou non standard.Ces protocoles sont plus difficiles à sécuriser, moins visibles pour les outils de surveillance et élargissent la surface d'attaque de l'organisation.Même après l'authentification, 37 % des applications négligent l'application des contrôles d'accès, ne disposant pas de garde-fous essentiels tels que les contrôles d'accès basés sur les rôles, les attributs ou les politiques. Cette défaillance fondamentale érode le principe du moindre privilège, transformant silencieusement les identités courantes en cibles de grande valeur, exposant l'entreprise à des violations telles que l'incident de Jaguar Land Rover en 2025 et enfreignant les normes PCI-DSS, SOC 2, ISO 27001, GDPR et HIPAA.Des contrôles d'accès faibles sapent le principe du moindre privilège, permettant aux utilisateurs et aux comptes d'obtenir un accès excessif au fil du temps, les transformant ainsi en cibles de grande valeur. Pire encore, ces défaillances sont silencieuses et semblent conformes jusqu'à ce qu'une violation ou un audit révèle les lacunes.Voici les conclusions finales du rapport :