Détection et réponse aux menaces liées à l'identité (ITDR) : le guide complet

L'identité est devenue la principale surface d'attaque. En 2025, 90 % des enquêtes menées dans le cadre de la gestion des incidents concernaient des failles liées à l'identité, et 65 % des accès initiaux étaient liés à l'identité — par le biais phishing, le vol d'identifiants ou la force brute — selon le rapport Global Incident Response Report 2026 de l'Unit 42. Parallèlement, près de deux milliards d'identifiants ont été répertoriés à partir de listes malware au cours de cette même année. endpoint traditionnels au niveau du périmètre et endpoint n'ont jamais été conçus pour détecter les attaquants qui franchissent la porte d'entrée avec des identifiants valides. La détection et la réponse aux menaces liées à l'identité (ITDR) ont pour but de combler cette lacune.

Ce guide explique ce qu'est l'ITDR, comment il fonctionne, les attaques qu'il détecte, comment il se positionne par rapport aux autres outils de sécurité, et comment le mettre en œuvre efficacement — le tout étayé par des études de cas concrets de violations de données et une analyse de conformité.

Qu'est-ce que la détection et la réponse aux menaces liées à l'identité (ITDR) ?

La détection et la réponse aux menaces liées à l'identité (ITDR) est une discipline de sécurité qui détecte, analyse et traite les menaces visant les identités des utilisateurs et des machines dans cloud sur site et cloud , en utilisant l'analyse comportementale et l'intelligence artificielle pour identifier l'utilisation abusive des identifiants, l'escalade des privilèges et les mouvements latéraux basés sur l'identité qui contournent les défenses périmétriques traditionnelles.

C'est en 2022 que Gartner a pour la première fois identifié l'ITDR comme l'une des principales tendances en matière de sécurité et de gestion des risques, en la présentant comme une catégorie distincte de la gestion des identités et des accès (IAM). Cette distinction est importante. L'IAM gère les personnes autorisées à accéder aux systèmes. L'ITDR détecte les cas où cet accès est détourné, utilisé de manière abusive ou volé.

Le marché a réagi. Selon Fortune Business Insights et MarketsandMarkets, le marché de l'ITDR connaît une croissance annuelle moyenne d'environ 22,6 à 22,9 %. Cette croissance reflète une réalité que les défenseurs connaissent déjà : les attaquants sont passés de l'exploitation des infrastructures à celle des identités.

L'ITDR fonctionne en tandem avec la gestion de la posture de sécurité des identités (ISPM), son pendant préventif. Alors que l'ISPM se concentre sur le renforcement des configurations d'identité, l'ajustement des autorisations et la suppression des comptes inactifs avant que les attaquants ne les exploitent, l'ITDR surveille les menaces actives en temps réel. Ensemble, elles constituent une stratégie complète de sécurité des identités reposant à la fois sur la prévention et la détection. L'analyse des identités fournit les informations comportementales qui alimentent ces deux disciplines.

Pourquoi l'identité est le nouveau périmètre

L'ampleur de l'exposition des identités est stupéfiante. Selon l'étude « Trends in Securing Digital Identities » (Tendances en matière de sécurisation des identités numériques) réalisée en 2024 par l'IDS Alliance, 90 % des organisations ont été victimes d'une violation d'identité au cours de l'année écoulée. Le rapport « SpyCloud 2026 Identity Exposure Report » a révélé que 65,7 milliards d'enregistrements d'identité ont été récupérés en 2025, soit une augmentation de 23 % par rapport à l'année précédente.

Ces chiffres expliquent pourquoi les attaques ciblant les identités occupent désormais une place prépondérante dans la gestion des incidents. Les pirates n'ont pas besoin d'exploiter une faille lorsqu'ils peuvent se connecter à l'aide d'identifiants valides. Chaque cloud , plateforme SaaS et chaque fournisseur d'identité fédérée élargit la surface d'attaque liée aux identités. Or, les outils de sécurité traditionnels — pare-feu, endpoint , surveillance du réseau — n'ont pas été conçus pour détecter un pirate qui se fait passer pour un utilisateur légitime.

Comment fonctionne l'ITDR

L'ITDR fonctionne selon un cycle continu comprenant la collecte de données, l'analyse comportementale, la détection des menaces et la réponse automatisée. Voici comment se présente ce modèle opérationnel.

Le modèle opérationnel ITDR en quatre phases

1. Collecter les signaux d'identité. Importer les journaux d'authentification et les données de télémétrie d'identité provenant d'Active Directory, des fournisseurs cloud (tels qu'Entra ID), des applications SaaS, des outils PAM et des services de fédération.
2. Définir des références comportementales. Recenser les schémas de comportement normaux — heures de connexion, emplacements géographiques, utilisation des privilèges, méthodes d'authentification et fréquence d'accès — pour chaque utilisateur et chaque identité de machine.
3. Détecter les anomalies et les menaces. Utiliser la détection comportementale des menaces pour identifier les écarts tels que les déplacements impossibles, les élévations inhabituelles de privilèges, les autorisations OAuth anormales et les schémas de « password spraying ».
4. Automatisez les mesures de confinement et d'intervention. Mettez en œuvre des réponses automatisées, notamment des vérifications d'authentification multifactorielle (MFA) renforcées, la désactivation de comptes, la rotation des identifiants et l'isolation des sessions, en fonction de la gravité de la menace.
5. Établissez des corrélations entre les différentes sources d'identité. Regroupez les signaux d'identité provenant cloud sur site et cloud afin de créer un contexte unifié pour la détection des menaces.
6. Ajuster et optimiser. Affiner en permanence les seuils de détection, réduire les faux positifs et étendre la couverture à mesure que la surface d'attaque liée à l'identité évolue.

Ce cycle fonctionne en continu. Contrairement aux audits ponctuels, l'ITDR assure une surveillance continue qui s'adapte à l'évolution du comportement des utilisateurs : de nouveaux rôles, de nouvelles applications ou de nouveaux sites entraînent tous un réajustement des paramètres de référence.

Gestion de la posture de sécurité des identités (ISPM)

L'ISPM constitue le pendant préventif du rôle de détection et de réaction de l'ITDR. Alors que l'ITDR se demande « cette identité se comporte-t-elle de manière malveillante à l'heure actuelle ? », l'ISPM se demande « nos configurations d'identité génèrent-elles des risques inutiles ? »

Les principales fonctions de l'ISPM comprennent l'inventaire des identités, l'ajustement des droits d'accès, la détection des erreurs de configuration et l'identification des comptes inactifs. Le besoin est urgent. Selon l'étude menée en 2026 par Unit 42, 99 % des cloud analysées disposaient de droits d'accès excessifs — une surface d'attaque considérable et exploitable que l'ISPM est conçu pour réduire avant même que l'ITDR n'ait à détecter un attaquant tirant parti de ces droits.

Les organisations qui déploient à la fois l'ITDR et l'ISPM mettent en place un modèle de défense en profondeur pour la gestion des identités. L'ISPM réduit l'ampleur des dégâts en supprimant les accès superflus. L'ITDR détecte les menaces qui parviennent à contourner les contrôles préventifs.

Types d'attaques ciblant l'identité détectées par ITDR

Les attaques ciblant l'identité recourent à un large éventail de techniques visant aussi bien les identités humaines que celles des machines. L'ITDR est conçu pour détecter ces attaques grâce à l'analyse comportementale plutôt qu'à des règles statiques.

Tableau : Attaques ciblant l'identité et méthodes de détection ITDR

Pour approfondir certains types d'attaques, consultez les guides consacrés au vol d'identifiants, à l'escalade de privilèges, à la propagation latérale, Usurpation de compteet Kerberoasting.

Menaces liées à l'identité non humaine (NHI)

Les identités non humaines — clés API, comptes de service, jetons OAuth et identifiants d'agents IA — sont désormais plus de dix fois plus nombreuses que les identités humaines dans la plupart des entreprises. Elles constituent un angle mort qui ne cesse de s'étendre.

Le rapport SpyCloud 2026 sur l'exposition des identités a révélé que 18,1 millions de clés API et de jetons exposés ont été récupérés en 2025, ainsi que 6,2 millions d'identifiants d'outils d'IA exposés via malware de type « infostealer ». Ces identifiants de machines disposent souvent de droits d'accès étendus, de durées d'expiration longues ou inexistantes, et font l'objet d'une surveillance limitée, ce qui en fait des cibles de grande valeur.

Les principaux vecteurs d'attaque NHI comprennent l'utilisation abusive des jetons OAuth, la compromission des comptes de service, le vol de clés API et la réutilisation de cookies de session. Les solutions ITDR combattent les menaces NHI en établissant un profil de référence du comportement des identités machine et en signalant tout écart : une clé API soudainement utilisée depuis une plage d'adresses IP inconnue, un compte de service accédant à des ressources hors de son périmètre habituel, ou l'utilisation des identifiants d'un agent IA à des heures inhabituelles.

ITDR par rapport aux autres outils de sécurité

Les équipes de sécurité utilisent déjà des plateformes IAM, PAM, EDR, XDR et SIEM. L'ITDR ne remplace aucune d'entre elles. Il comble une lacune spécifique — la détection comportementale axée sur l'identité — qu'aucun de ces outils n'a été conçu pour combler.

Tableau : Interaction entre l'ITDR et les outils de sécurité existants

La principale différence réside dans la profondeur de l'analyse comportementale. Les solutions IAM et PAM assurent l'application des politiques. Les solutions EDR surveillent les terminaux. Les solutions SIEM établissent des corrélations entre les journaux. Aucune d'entre elles n'applique spécifiquement une analyse comportementale continue aux signaux d'identité sur l'ensemble de la surface d'attaque des identités — à savoir Active Directory sur site, les fournisseurs cloud , les applications SaaS et les services de fédération — de manière simultanée.

Les attaques par usurpation d'identité dans la pratique

Les violations de sécurité survenues dans la réalité démontrent mieux que n'importe quelle discussion théorique l'importance de l'ITDR. Chacun des cas suivants concernait des attaques ciblant l'identité qui ont contourné les contrôles traditionnels — et chacun met en évidence des points précis où l'ITDR aurait détecté la menace.

Violations de données chez les clients de Snowflake (2024)

Le groupe cybercriminel UNC5537 a utilisé des identifiants volés par un logiciel de vol d'informations — dont certains dataient de 2020 — pour accéder à environ 165 instances client sur la plateforme cloud . Parmi les organisations touchées figuraient de grandes entreprises des secteurs des télécommunications, du divertissement et des services financiers.

Trois facteurs ont rendu cette intrusion possible. Les comptes clients n'étaient pas protégés par une authentification multifactorielle. Des identifiants valides provenant de logiciels de vol d'informations datant de plusieurs années fonctionnaient toujours. Aucune politique d'accès au réseau ne limitait les sources de connexion.

Leçon tirée de l'ITDR. L'analyse comportementale aurait permis de détecter des schémas de connexion anormaux — nouvelles géolocalisations, appareils inconnus et identifiants connus pour avoir été compromis —, signalant ainsi les tentatives d'accès avant même que l'exfiltration des données ne commence. Source : Cloud Alliance.

Tempête de neige de minuit (2024)

APT29 a utilisé la technique du « password spraying » pour compromettre un ancien compte de test dépourvu d'authentification multifactorielle (MFA). À partir de là, l'acteur malveillant a exploité d'anciennes applications OAuth dotées de droits élevés pour créer des applications OAuth malveillantes et leur accorder un accès complet à Exchange Online, ce qui lui a finalement permis de consulter les e-mails des hauts dirigeants.

Leçon tirée de l'ITDR. L'ITDR aurait détecté le schéma de « password spraying », signalé la création d'une application OAuth à partir d'une source inhabituelle et émis une alerte concernant l'attribution anormale d'un rôle accordant l'accès à Exchange Online. De multiples occasions de détection se sont présentées tout au long de la chaîne d'attaque. Source : Guide des incidents du MSTIC.

Faille de sécurité du registre FICOBA en France (2026)

Un pirate informatique a utilisé les identifiants volés d'un fonctionnaire pour accéder au registre national des comptes bancaires (FICOBA), exposant ainsi les données financières d'environ 1,2 million de personnes. Le système PAM n'a pas pu détecter cette intrusion à lui seul, car le pirate utilisait des identifiants valides disposant de niveaux d'accès autorisés.

Leçon tirée de l'ITDR. L'analyse comportementale aurait détecté des schémas d'accès anormaux : volume de données inhabituel, horaires de requêtes atypiques et fréquence d'accès dépassant largement les valeurs de référence historiques de l'utilisateur. Source : The Hacker News.

Détection et prévention des menaces liées à l'identité

Une détection efficace des menaces liées à l'identité nécessite une mise en œuvre progressive, des indicateurs de performance clés (KPI) mesurables et un choix mûrement réfléchi entre une approche en gestion autonome et une approche gérée. Voici les bonnes pratiques et une feuille de route concrète.

Bonnes pratiques en matière d'ITDR :

• Surveiller en permanence toutes les sources d'identité (Active Directory, cloud , SaaS, PAM)
• Intégrer ITDR aux plateformes SIEM et XDR existantes pour obtenir un contexte corrélé
• Appliquer le principe du privilège minimal et mettre en place un accès « juste à temps »
• Mettre en place un système de détection par leurre à l'aide de comptes « honeypot » et de « honeytokens »
• Élaborer des guides d'intervention en cas d'incident adaptés à chaque identité
• Mettre en place une recherche proactive des menaces axée sur les signaux d'identité

Feuille de route pour la mise en œuvre de l'ITDR

Tableau : Feuille de route pour la mise en œuvre progressive de l'ITDR

ITDR indicateurs et KPI à suivre tout au long de la mise en œuvre :

• MTTI (mean time to identify identity incidents): Target <1 hour for critical identity alerts
• MTTC (mean time to contain identity-based intrusions): Target <4 hours
• Couverture de la surface d'attaque liée à l'identité : plus de 95 % des sources d'identité surveillées
• False positive rate: Target <10% of total identity alerts
• Écart entre la détection et la maîtrise : un rapport annuel sur les menaces dans le secteur a révélé que 68 % des entreprises détectent les menaces liées à l'identité dans les 24 heures, mais que seules 55 % parviennent à les maîtriser efficacement — un écart de 13 points que l'automatisation de l'ITDR vise à combler.

Services ITDR gérés pour les équipes disposant de ressources limitées

Toutes les entreprises ne disposent pas des effectifs nécessaires pour mettre en place et gérer un système ITDR en interne. Les services de détection et de réponse gérés offrent une solution externalisée de détection et de réponse aux menaces liées à l'identité pour les équipes qui ont besoin d'une couverture 24 heures sur 24, 7 jours sur 7, sans avoir à augmenter leurs effectifs.

Quand envisager une solution ITDR gérée :

• Équipes de sécurité comptant moins de cinq employés à temps plein
• Couverture de surveillance limitée 24 heures sur 24, 7 jours sur 7
• Manque d'expertise interne en matière de sécurité des identités

Éléments à évaluer : l'étendue de la couverture (AD + cloud SaaS), les accords de niveau de service (SLA) en matière de réponse, l'intégration avec l'infrastructure existante et la transparence des rapports. Le marché de l'ITDR géré connaît une croissance rapide, et de nombreux fournisseurs élargissent leurs capacités dans ce domaine pour répondre à la demande des MSP et des MSSP.

ITDR et conformité

Les fonctionnalités de l'ITDR correspondent directement aux contrôles liés à l'identité prévus par les principaux cadres réglementaires. L'alignement de l'ITDR sur ces cadres simplifie la collecte des éléments probants en vue des audits et témoigne d'une gouvernance proactive en matière de sécurité des identités.

Correspondance des techniques MITRE ATT&CK

Tableau : MITRE ATT&CK couvertes par l'ITDR

Pour une vue d'ensemble plus complète du cadre, consultez le MITRE ATT&CK .

Tableau de correspondance des cadres de conformité

Tableau : Correspondance entre l'ITDR et les cadres de conformité

Tendances futures et considérations émergentes

Le paysage des menaces liées à l'identité évolue plus rapidement que ne peuvent s'y adapter la plupart des programmes de sécurité. Au cours des 12 à 24 prochains mois, plusieurs évolutions vont redéfinir la manière dont les entreprises abordent l'ITDR.

Les attaques accélérées par l'IA réduisent considérablement les délais de réaction. L'étude menée en 2026 par Unit 42 a révélé que les simulations d'attaques assistées par l'IA permettaient une exfiltration complète en seulement 25 minutes, l'exfiltration la plus rapide observée en conditions réelles ayant été réalisée en 72 minutes. Ces délais ne laissent aucune place à une enquête manuelle. Les solutions ITDR qui automatisent la détection et la réponse deviendront des éléments indispensables, et non plus des facteurs de différenciation.

La convergence entre la gestion des accès privilégiés (PAM) et la détection des menaces liées à l'identité (ITDR) s'accélère. Tant Gartner que KuppingerCole recommandent désormais la mise en place de couches de défense unifiées qui associent les contrôles d'accès privilégiés à la détection des menaces liées à l'identité. Les entreprises qui maintiennent ces capacités en silos se retrouveront confrontées à des failles que les attaquants savent déjà exploiter.

Les attaques par détournement de session se multiplient grâce phishing ». plateforme Tycoon 2FA plateforme que l’Europol a démantelée lors d’une opération coordonnée — permettait des attaques de type « man-in-the-middle » qui contournaient l’authentification multifactorielle (MFA) à grande échelle. Malgré ce démantèlement, la plateforme a refait surface en l’espace de quelques semaines, démontrant ainsi la résilience de l’économie phishing ». Les systèmes de détection et de réponse aux incidents informatiques (ITDR) doivent détecter le détournement de session et la réutilisation de jetons, quelle que soit la manière dont les identifiants initiaux ont été compromis.

La protection des identités non humaines deviendra une obligation réglementaire. Avec la multiplication des clés API, des comptes de service et des identifiants des agents IA, il faut s'attendre à ce que les cadres de conformité imposent la surveillance et la gestion du cycle de vie des identités machines. Les organisations devraient commencer dès maintenant à recenser leur surface d'attaque en matière d'identités non humaines.

Approches modernes de la détection des menaces liées à l'identité

Les programmes ITDR les plus efficaces aujourd'hui ne se limitent pas à une simple surveillance des identités. Ils intègrent les signaux liés aux identités à détection et réponse aux incidents, cloud et endpoint afin de constituer une vue unifiée du comportement des attaquants sur l'ensemble de la surface d'attaque.

L'ITDR Cloud étend la détection à cloud fournisseurs d'identité, aux plateformes SaaS etcloud , là où les outils traditionnels sur site n'ont aucune visibilité. Les capacités de sécurité basées sur l'IA — notamment les renseignements sur les menaces et la modélisation comportementale pilotés par l'IA — permettent aux solutions ITDR de rester à la hauteur des adversaires qui utilisent eux-mêmes l'IA pour accélérer leurs attaques.

L'intégration de l'ITDR avec zero trust représente une évolution naturelle. Zero trust une vérification continue. L'ITDR fournit les informations comportementales sur l'identité qui donnent tout son sens à cette vérification continue, au lieu de la réduire à une simple formalité.

Vectra AI en matière de détection des menaces liées à l'identité

L'approche Vectra AI en matière de détection des menaces liées aux identités s'articule autour de Attack Signal Intelligence, qui applique l'analyse comportementale aux signaux d'identité provenant à la fois d'Active Directory sur site, des fournisseurs cloud et des applications SaaS. En mettant en corrélation les comportements liés aux identités avec les données de télémétrie réseau, cette méthodologie identifie les attaques réelles dissimulées derrière des activités d'identité d'apparence normale, plutôt que de générer davantage d'alertes que les analystes devront trier. L'objectif est de privilégier le signal par rapport au bruit, en donnant aux équipes de sécurité la clarté nécessaire pour agir sur ce qui compte et la confiance pour ignorer ce qui n'a pas d'importance.

Conclusion

Les attaques ciblant les identités ne constituent pas une simple tendance. Elles représentent le principal vecteur d'attaque : elles sont à l'origine de la majorité des accès initiaux dans les incidents confirmés et constituent la cause première de violations de données très médiatisées au sein d'organisations de toutes tailles et de tous secteurs. Les affaires Snowflake, Midnight Blizzard et FICOBA illustrent toutes le même scénario : des identifiants valides, une surveillance insuffisante et des contrôles préventifs qui n'ont jamais été conçus pour détecter un attaquant se faisant passer pour un utilisateur légitime.

L'ITDR comble cette lacune. Il apporte une détection comportementale en continu à la surface d'attaque liée aux identités, détecte les menaces que les solutions IAM, PAM et EDR ne peuvent pas repérer, et automatise le confinement avant que les attaquants n'atteignent leurs objectifs. Associé à l'ISPM pour la gestion préventive de la posture de sécurité et aligné sur des référentiels tels que MITRE ATT&CK NIST CSF, l'ITDR offre aux équipes de sécurité la visibilité et la réactivité dont elles ont besoin pour défendre la surface la plus ciblée au sein des entreprises modernes.

Pour les entreprises désireuses d'évaluer leurs capacités de détection des menaces liées à l'identité, découvrez comment Vectra AI l'ITDR grâce à Attack Signal Intelligence ».