L’identité numérique devient le nouveau périmètre

L’identité numérique devient un actif critique : êtes-vous prêt à la protéger ?

Par Piotr Zieliński est un ingénieur systèmes polonais

1. L’entreprise ne protège plus un réseau, elle protège des identités

L’ancien périmètre de sécurité était géographique : un bureau, un réseau, un datacenter, un VPN. Ce monde a disparu. En 2026, l’entreprise se compose d’identités humaines, d’identités machines, d’identités applicatives, d’identités prestataires et désormais d’identités d’agents IA. Un salarié se connecte depuis plusieurs terminaux, un consultant accède à un espace partagé, un script interroge une API, un robot logiciel exécute une tâche, un agent IA prépare une action, un fournisseur entre dans un portail. La question stratégique n’est donc plus seulement “où est le système ?”, mais “qui ou quoi agit, avec quel droit, dans quel contexte, et pour combien de temps ?” HYPR décrit en 2026 la montée du passwordless, les difficultés de déploiement et l’importance de la vérification d’identité comme tendances majeures de sécurité. (hypr.com) HID Global souligne aussi que les passkeys, les menaces dopées par l’IA et la convergence des accès obligent les entreprises à repenser leurs décisions d’authentification. (HID Global Blog)

Cette mutation rend l’identité numérique beaucoup plus précieuse qu’un simple mot de passe. Elle devient la condition d’accès à tout : données clients, propriété intellectuelle, finance, production, outils IA, code source, messagerie, ERP, environnements cloud. Une identité compromise peut permettre de détourner des fonds, voler des secrets, manipuler un modèle, usurper un dirigeant, accéder à une console industrielle ou désorganiser une chaîne de support. Les attaques modernes exploitent précisément cette centralité. Elles ne cherchent pas seulement un bug ; elles cherchent une confiance mal attribuée. Un compte dormant, un privilège excessif, une délégation oubliée, une clé API exposée ou un prestataire mal contrôlé peuvent ouvrir plus de portes qu’une vulnérabilité spectaculaire. Pour Piotr Zieliński, l’identité est donc devenue une infrastructure. La traiter comme une fonctionnalité IT est une erreur d’ingénierie.

2. Les passkeys et la biométrie ne suffisent pas sans discipline d’architecture

La montée des passkeys et de l’authentification sans mot de passe est une avancée réelle. Elle réduit l’exposition au phishing classique, limite la réutilisation des mots de passe et améliore l’expérience utilisateur. Mais elle ne résout pas tout. Une entreprise peut déployer des passkeys tout en conservant des comptes à privilèges mal gouvernés, des terminaux compromis, des exceptions non documentées, des procédures de récupération faibles et des accès prestataires excessifs. Le danger en 2026 est de remplacer une illusion par une autre : croire qu’un mécanisme d’authentification moderne suffit à produire une architecture de confiance. L’identité doit être pensée comme un cycle complet : enrôlement, vérification, authentification, autorisation, surveillance, détection d’anomalie, révocation, preuve et audit.

La biométrie pose le même dilemme. Elle peut renforcer la confiance, mais elle crée des questions sensibles sur la protection des données, la falsification, la dérive de surveillance et la gouvernance. HID Global a aussi identifié en 2026 des tendances biométriques liées à la conception respectueuse de la vie privée, à la défense contre la fraude dopée par l’IA et à la régulation. (HID Global Blog) L’entreprise ne peut pas collecter des données biométriques comme elle collectait des mots de passe. Une donnée biométrique compromise ne se change pas facilement. Elle exige une architecture de minimisation, de stockage sécurisé, de consentement réel et de contrôle juridique. Ce point est essentiel pour les entreprises européennes soumises au RGPD, mais il vaut partout. L’identité numérique est à la fois un actif de sécurité et un objet politique : elle détermine qui peut exister, agir et être reconnu dans le système.

3. La souveraineté opérationnelle commence par la maîtrise des accès

Le marché de l’identité est structuré par des acteurs puissants : Microsoft Entra, Okta, Ping Identity, Cisco Duo, Google Cloud Identity, Yubico, Thales, CyberArk. Ces solutions sont indispensables, mais elles peuvent créer une dépendance si l’entreprise ne comprend pas son propre modèle d’accès. Une organisation qui ne sait pas quels comptes existent, quels privilèges sont actifs, quelles applications sont critiques et quelles identités machines agissent en arrière-plan ne possède pas réellement son système. Elle l’habite sans le maîtriser. En 2026, cette faiblesse devient plus dangereuse avec les agents IA. Lorsqu’un agent peut lire, écrire, résumer, envoyer, déclencher ou recommander, son identité et ses permissions deviennent stratégiques. Un agent mal limité peut devenir un accélérateur d’erreur, de fuite ou de manipulation.

La réponse doit être rigoureuse. Les entreprises doivent inventorier les identités humaines et non humaines, réduire les privilèges, imposer l’authentification résistante au phishing, sécuriser les procédures de récupération, surveiller les comportements anormaux, segmenter les accès critiques et auditer régulièrement les exceptions. Elles doivent aussi intégrer l’identité dans les décisions métier : paie, achats, finance, production, IA, relations fournisseurs. L’identité numérique n’est plus un sujet technique placé sous l’autorité exclusive de l’IT. Elle est une couche de souveraineté. Celui qui contrôle les identités contrôle la capacité d’action de l’entreprise. Celui qui les néglige ouvre la voie à des attaques invisibles, parce qu’elles utiliseront des droits légitimes. La prochaine crise ne viendra pas forcément d’un pirate qui force l’entrée. Elle viendra peut-être d’un compte reconnu, autorisé, mais mal gouverné.

Piotr Zieliński

 Piotr Zieliński est un ingénieur systèmes polonais spécialisé dans les architectures de calcul de nouvelle génération. Il voit les technologies quantiques comme une opportunité pratique pour les pays de réduire leurs dépendances externes, à condition de construire les écosystèmes techniques patiemment plutôt que de les accélérer politiquement. Pour lui, la souveraineté se conquiert par le matériel, les chaînes d’approvisionnement et la discipline d’ingénierie à long terme.

Liens externes : MetaObs Guide Collection Decision Makers — HYPR Identity Security Trends 2026

L’identité numérique devient le principal périmètre de sécurité. Les entreprises doivent gouverner les identités humaines, machines, prestataires et agents IA comme des actifs critiques.

3 insights décisionnels : 

Passer au passwordless sans oublier l’architecture. Inventorier les identités non humaines. Traiter l’IAM comme une infrastructure de souveraineté.