Comment l'écart entre Active Directory sur site et le cloud est devenu l'angle mort de la sécurité des identités hybrides

La plupart des organisations sécurisent le cloud et leur AD sur site, mais pas l'écart entre les deux. C'est désormais le plus grand angle mort de la sécurité des identités hybrides.

Publié le 16 juillet 2026
Hybrid Identity Security: The AD–Cloud Blind Spot

Il s'agit du troisième article de notre série sur Active Directory. Retrouvez la première partie, L'avenir d'Active Directory, et la deuxième, Pourquoi l'identité hybride s'inscrit dans la durée.

L'écart entre Active Directory (AD) sur site et le cloud est devenu la vulnérabilité la plus sous-estimée en matière de sécurité Active Directory hybride. Les organisations investissent massivement pour sécuriser chaque environnement, mais la jonction entre les deux, c'est l'identité hybride. C'est là que les attaquants se concentrent de plus en plus, et là où la plupart des défenses font défaut.

Du périmètre à l'identité

L'un des changements les plus marquants de la cybersécurité au cours des 20 dernières années est l'évolution des cyberattaques : d'abord centrées sur les ressources exposées, elles ciblent désormais en priorité les systèmes d'identité faibles et vulnérables. À un moment donné, les attaquants ont compris que compromettre des identités par le vol d'identifiants était devenu un raccourci facile pour contourner les défenses réseau sans être détectés.

Il n'a pas aidé que ce changement coïncide avec une expansion considérable du nombre d'identités disponibles à cibler, une observation résumée par le principe « l'identité est le nouveau périmètre ».

Pourquoi chercher à pénétrer un réseau par une porte dérobée via du piratage classique, quand il suffit de se connecter avec des identifiants volés ? Mieux encore : ce compte étant légitime, il contournait toutes les couches de protection de cybersécurité, des terminaux aux pare-feux.

Et ce n'était pas seulement la nature de la cible qui changeait, mais aussi l'endroit où les identités étaient déployées. Lorsque les réseaux étaient uniquement sur site, un compte utilisateur compromis pouvait donner aux attaquants accès aux ressources de ce réseau. L'arrivée des identités cloud a amplifié les effets d'une compromission d'identité de façon considérable.

Une surface d'attaque croissante

Cette même compromission donne désormais soudainement accès à tout un ensemble de systèmes d'entreprise supplémentaires, notamment Microsoft 365, Salesforce, ServiceNow, AWS et GitHub.

Ce changement s'est produit à une vitesse incroyable, même s'il a fallu des années pour en mesurer toutes les implications. Les entreprises s'en débattent depuis lors. Soudainement, via des identités exposées, la surface d'attaque s'est étendue d'un seul segment réseau à, potentiellement, tous les systèmes d'une organisation, d'Active Directory à un bout jusqu'aux multiples plateformes cloud et SaaS à l'autre.

Mais le problème le plus important ? Les organisations d'aujourd'hui ont partiellement migré depuis un environnement uniquement sur site vers un environnement dans lequel ce réseau est lié à un réseau cloud et synchronisé avec celui-ci.

Cette nouvelle topologie hybride offre aux attaquants deux occasions de s'attaquer à la même cible. L'un ou l'autre environnement peut être ciblé et compromis par le biais de l'autre.

La complexité croissante des identités

Les RSSI n'ont pas à chercher loin pour trouver des preuves que les identifiants sont au cœur de la vulnérabilité en matière de cybersécurité aujourd'hui. Le rapport Verizon 2026 sur les violations de données (DBIR), qui a analysé 22 000 violations de données confirmées dans 145 pays, a révélé que 78 % des incidents pouvaient être reliés d'une manière ou d'une autre à un abus d'identifiants.

Une nuance importante : l'abus d'identifiants enregistré par le DBIR ne concerne pas seulement, contrairement à ce que l'on suppose parfois, le vol et l'utilisation abusive des identifiants utilisateurs classiques. Les identités non humaines doivent également être prises en compte. « System intrusion » (intrusion système), la plus grande catégorie du DBIR, illustre bien ce phénomène : elle couvre un large éventail de types de compromissions liées à différents vecteurs d'entrée.

Mais quelle que soit la façon dont les attaquants pénètrent un réseau, une fois à l'intérieur, ils recherchent invariablement d'autres types d'identifiants permettant les déplacements latéraux :

  • les comptes de service ;

  • les hachages d'administrateur de domaine ;

  • les jetons système de différents types.

Chacun d'eux est une identité qui confère un accès et un pouvoir sur différents systèmes.

Cela illustre comment l'identité moderne repose inévitablement sur une structure complexe d'identifiants imbriqués, précisément l'expansion qui a rendu possible la croissance des technologies cloud en premier lieu. On ne peut jamais avoir moins d'identifiants, seulement plus. Le cloud est un tissu de plateformes et de technologies différentes, mais les identités sont le ciment qui maintient tout cela ensemble.

Le champ de bataille de la sécurité des identités hybrides

Pour les entreprises, la vulnérabilité engendrée par la multiplication des identifiants est inévitable. L'implication concrète est que les organisations doivent trouver un moyen de sécuriser deux environnements plutôt qu'un : les datacenters traditionnels sur site basés sur Active Directory et les plateformes et applications cloud qui y sont connectées.

De nombreuses organisations supposaient initialement que cet état hybride serait une étape temporaire avant une migration totale vers le cloud. Aujourd'hui, une évaluation plus réaliste indique que cela ne se produira probablement jamais comme on l'avait envisagé. En pratique, même si des risques existent des deux côtés, le réseau sur site reste la plus grande vulnérabilité — produit de l'ère de la sécurité dans laquelle il a été conçu. Malgré cela, les outils nécessaires pour gérer le risque lié à la sécurité des identités hybrides restent frustrant difficiles à trouver.

Les organisations s'efforcent de contenir les menaces en investissant dans des couches de contrôle des terminaux, des pare-feux, du filtrage des e-mails, et une pléthore de systèmes et de solutions de surveillance cloud. Elles déploient également de plus en plus l'authentification multifacteur (la MFA), l'authentification unique (SSO), la prévention des pertes de données (DLP), des systèmes SIEM, la surveillance des API et le zero trust.

Ce que cette infrastructure complexe et souvent coûteuse ne fait pas toujours, c'est sécuriser la jonction vulnérable entre les environnements sur site et cloud.

Chacun est sécurisé par des contrôles solides, mais sans pour autant combler les failles souvent difficiles à détecter entre eux. Ces failles de sécurité apparaissent souvent dans des conditions complexes difficiles à prévoir, ce qui peut compliquer la capacité des équipes de sécurité à les anticiper ou à les surveiller.

Là où la jonction cède

L'une des plus grandes vulnérabilités de la jonction est le processus de synchronisation Active Directory ou Entra ID, utilisé pour mettre à jour les données d'identité telles que les utilisateurs, les groupes et les hachages de mots de passe. Ce processus peut s'exécuter dans les deux sens — du réseau sur site vers le cloud ou du cloud vers le réseau sur site — selon le côté utilisé comme référentiel d'identité principal, mais le problème reste le même : les attaquants peuvent s'emparer d'un environnement via une faiblesse d'identité et en tirer parti pour cibler l'autre.

Un autre exemple côté sur site est Active Directory Federation Services (AD FS), utilisé pour gérer l'authentification unique. Celui-ci peut être ciblé par des attaques « golden SAML », où les attaquants forgent des jetons SAML pour accéder à des services cloud tels que Microsoft 365 en usurpant l'identité d'utilisateurs ou d'administrateurs. Et cela avant même de prendre en compte la vulnérabilité persistante des protocoles hérités comme NTLM et LDAP, conçus une génération avant l'apparition du cloud ou de la MFA, et qui subsistent encore dans certains réseaux malgré les risques connus qu'ils présentent.

Défendre la sécurité des identités hybrides

Sécuriser un réseau hybride est difficile, mais ce n'est pas impossible. Logiquement, si les identités sont le point faible, la première tâche des défenseurs est de les protéger, en particulier celles gérées via Active Directory sur site.

La difficulté avec Active Directory est que son ancienneté implique un manque de contrôles de sécurité modernes. Pour y remédier, les organisations sont contraintes de construire des couches de sécurité supplémentaires à l'aide de produits tiers. Malheureusement, rares sont les produits permettant de le faire sans ajouter de la complexité et des coûts, y compris de la part de Microsoft lui-même.

Sécuriser les identités dans des conditions réelles

UserLock est conçu pour combler les nombreuses lacunes, petites mais critiques, qui rendent encore la sécurité d'Active Directory plus difficile qu'elle ne devrait l'être. Il le fait en ajoutant des couches de sécurité d'accès manquantes au point de connexion : la MFA, le SSO, les contrôles d'accès de session et d'accès simultané, ainsi que l'accès contextuel. Ce sont toutes des fonctionnalités qu'Active Directory intégrerait s'il était développé aujourd'hui.

La philosophie sous-jacente est qu'Active Directory lui-même n'est pas le problème. Ce sont les fonctionnalités de sécurité manquantes nécessaires pour le défendre.

La plupart des compromissions d'identité commencent à petite échelle avant de se transformer en déplacements latéraux bien plus menaçants :

  • un compte de poste de travail compromis ;

  • une connexion VPN ou RDP non sécurisée ;

  • un compte d'administrateur privilégié.

Sécurisez-les, et l'organisation ferme la porte dérobée vers le cloud.

Presque toutes les organisations disposent encore d'un réseau sur site conséquent fonctionnant sur Active Directory, soit en tant que référentiel d'identité principal, soit synchronisé avec Entra ID ou une plateforme cloud tierce. Le défendre ne devrait jamais être la réflexion après coup qu'il est trop souvent devenu. C'est là que commence la vulnérabilité, et c'est la première chose que les défenseurs devraient chercher à sécuriser.

Au cours de la dernière décennie, les organisations ont renforcé leurs défenses en matière d'identité, et pourtant les cybercriminels ne montrent aucun signe de ralentissement dans le développement de nouvelles techniques.

Ils savent ce que beaucoup de défenseurs préfèrent ne pas entendre : quel que soit le montant consacré à la sécurité, les organisations hybrides ne sont jamais plus sécurisées que leur identité la plus faible.

À l'ère du hybride, la sécurité des identités hybrides n'est plus seulement une question de bonne pratique. Elle est devenue le fondement sur lequel repose chaque autre contrôle de sécurité.

XFacebookLinkedIn

Daniel Garcia Navarro

Directeur de l’ingénierie logicielle, IS Decisions

Daniel Garcia est Directeur de l’ingénierie logicielle chez IS Decisions, où il dirige le développement de solutions de gestion des accès sécurisées et évolutives. Titulaire d’un master en ingénierie des télécommunications, il apporte une expertise technique solide à la sécurité des identités en entreprise.