---
title: "Pourquoi l'identité hybride est un jeu de longue haleine"
description: "Pour de nombreuses organisations, l'identité hybride n'est pas une phase, c'est l'avenir."
locale: "fr"
updated_at: "2026-07-10T13:44:16.988Z"
canonical: "https://www.isdecisions.com/fr/blog/active-directory/identite-hybride-jeu-de-longue-haleine"
---

# Pourquoi l'identité hybride est un jeu de longue haleine, pas un tremplin vers le cloud

_L'identité hybride n'est pas une phase. Pour de nombreuses organisations, c'est l'avenir._

Ceci est le deuxième article de notre série sur Active Directory. Commencez par la première partie : [L'avenir d'Active Directory](URL).

**Pour de nombreuses organisations, l'identité hybride n'est pas une phase temporaire. C'est un modèle d'exploitation à long terme. Active Directory continue d'ancrer l'authentification pour une grande partie des environnements informatiques, et le calendrier de migration complète vers le cloud s'est avéré bien plus long que ce que le secteur avait prévu. Voici pourquoi le mode hybride est là pour durer pour beaucoup, et ce que cela implique pour ****[sécuriser Active Directory](/userlock/solutions/securite-active-directory-hybride)****.**

## Ce que « hybride » signifie dans les environnements réels

De toutes les notions que les professionnels de l'informatique doivent appréhender, l'environnement hybride est l'une des plus ambiguës. À un premier niveau, la définition est assez simple : un réseau hybride combine une infrastructure datacenter sur site traditionnelle exécutant des systèmes Windows Server et Linux avec des plateformes cloud tierces et privées, en les intégrant dans un ensemble aussi cohérent que possible.

La réalité de leur sécurisation est bien plus complexe. Les réseaux sur site et les plateformes cloud sont conçus selon des concepts radicalement différents. Les environnements sur site basés sur Windows Active Directory reflètent le passé de l'informatique — une époque où il n'existait qu'une seule façon de construire un réseau. Le cloud, en revanche, a réinventé bon nombre de ces mêmes systèmes et structures autour de nouvelles technologies qui transforment l'infrastructure et les applications en services.

## Le mode hybride était censé être temporaire

Pendant longtemps, l'hypothèse dominante était que la plupart des systèmes informatiques finiraient par se transformer en service cloud, sous une forme ou une autre. Cela semblait logique ; les entreprises d'aujourd'hui, pilotées par les applications, les API et l'intelligence artificielle, n'ont plus le temps de gérer les technologies de plus en plus complexes qui sous-tendent l'informatique moderne. De ce point de vue, le réseau hybride n'était qu'une étape de transition entre deux ères différentes, qui conduirait à terme le cloud à devenir la norme.

Ce moment n'a jamais été défini sur un calendrier réaliste, ce qui explique en partie pourquoi la notion de réseau hybride a connu un glissement de sens important. Au lieu d'être une transition, l'environnement hybride est devenu la norme. C'était pragmatique. De nombreuses organisations ont découvert qu'elles avaient non seulement besoin de leur réseau sur site pour faire fonctionner leurs systèmes existants, mais qu'elles tenaient également à conserver le contrôle d'une partie de leur infrastructure informatique. Soudain, le cloud était important, mais le réseau datacenter traditionnel l'était tout autant.

Plutôt que de désigner un état temporaire sur la route vers l'adoption totale du cloud, le terme « hybride » en est venu à définir un modèle d'exploitation à long terme dans lequel les deux environnements coexistent et sont gérés comme un seul parc informatique. Aujourd'hui, ces deux définitions persistent, créant une situation apparemment paradoxale où le mode hybride est un état transitoire pour certaines organisations, tandis qu'il est indéfini, voire permanent, pour beaucoup d'autres.

## Active Directory : la plateforme d'identité que le temps n'a pas su effacer

Nulle part cette dualité n'est plus évidente que dans la plateforme Windows dominante, qui a d'un côté Active Directory (AD) sur site et de l'autre Entra ID, anciennement Azure Active Directory. La plupart des plateformes cloud, comme Amazon Web Services (AWS) ou Google Cloud Platform, ont émergé à l'ère du cloud. Grâce à son héritage dans le domaine des systèmes d'exploitation, Microsoft occupe une place unique, à la fois dans le monde sur site et dans le cloud. Cela a créé une tension inconfortable entre la nécessité de servir deux mondes — pour les clients, et peut-être pour Microsoft lui-même.

Active Directory est un pilier de toute l'ère informatique et de la domination de Microsoft sur celle-ci. De nombreuses grandes technologies numériques ont émergé, disparu ou évolué jusqu'à devenir méconnaissables depuis son apparition en 2000, et pourtant Active Directory reste non seulement très populaire, mais étonnamment inchangé. Habituée aux changements constants et disruptifs, l'industrie technologique peine à comprendre ce type de longévité. Rester identique à soi-même va à l'encontre d'une règle non écrite. Il doit forcément exister de meilleures options qu'un service d'annuaire dont les concepts fondamentaux sont antérieurs à l'Internet commercial ?

### Windows Server 2025 change la donne

Pendant longtemps, il a semblé que Microsoft partageait ce point de vue. Active Directory était un service d'annuaire à l'ancienne, incapable de rivaliser avec les standards ou la commodité des plateformes cloud modernes telles qu'Entra ID d'Azure. Les versions de Windows Server se succédaient, mais Active Directory n'ajoutait que peu de nouvelles fonctionnalités, voire aucune, et semblait marquer le pas.

Puis, en 2025, après des années qui commençaient à ressembler à un désintérêt délibéré, le monde informatique a eu la surprise que personne n'avait anticipée : les versions préliminaires de Windows Server 2025 ont fait un bond inattendu du niveau fonctionnel 7 de Windows Server 2016 au niveau fonctionnel de domaine et de forêt (FFL) 10.

Le niveau fonctionnel est un identifiant interne qui passe généralement inaperçu, mais dans le monde d'Active Directory, il revêt une grande importance car il a des implications majeures sur l'interopérabilité des contrôleurs de domaine (DC) entre les différentes versions de Windows Server. Cela signalait quelque chose d'important : loin d'abandonner Active Directory, Microsoft en étendait discrètement les capacités une nouvelle fois.

## Identité hybride

Active Directory était censé être un environnement legacy, que les organisations continueraient à prendre en charge par nécessité plutôt que par choix. Étendre son ensemble de fonctionnalités constitue un changement d'approche subtil mais sans équivoque. De toute évidence, pour une entreprise aussi prudente que Microsoft, cette décision n'a pas été prise à la légère.

Les nouvelles fonctionnalités elles-mêmes semblent relativement mineures à première vue, mais offrent un aperçu révélateur du positionnement d'Active Directory. Par exemple, pendant des années, Active Directory s'est accommodé d'une taille de page de base de données de 8 Ko, ce qui impose des limites à la quantité de données pouvant être associées à un objet — par exemple, les informations utilisateur et les identifiants d'appareils tels que les certificats et les clés d'authentification. Si ce n'est pas encore un problème dans votre environnement Active Directory, cela le deviendra bientôt, à mesure que le nombre d'objets d'identité essentiels augmente naturellement avec le temps. FFL 10 porte désormais cette limite à 32 Ko en option pour les administrateurs souhaitant étendre la taille des objets d'annuaire au-delà des limites actuelles.

### Naviguer dans un monde multipolaire

Il y a vingt ans, un objet utilisateur typique pouvait inclure des données telles que le nom d'utilisateur, l'adresse e-mail, un hachage de mot de passe, un identifiant de département et quelques appartenances à des groupes. Aujourd'hui, il engloberait tout cela, ainsi que de multiples types de clés d'authentification, des appartenances à des applications cloud, des étiquettes de conformité, des attributs basés sur les applications, et potentiellement des dizaines d'appartenances à des groupes.

Une partie de ces données supplémentaires s'explique par une croissance naturelle, mais, incontestablement, la majeure partie est portée par l'essor du cloud hybride. Active Directory doit donc évoluer parce que les clients ont besoin de nouvelles fonctionnalités. Il n'est plus toujours au centre de l'univers, mais il reste incontournable. Aujourd'hui, le service d'annuaire de Microsoft et ses utilisateurs gèrent des réseaux dans un monde multipolaire qui englobe les clouds externes ainsi que le propre Entra ID de Microsoft. Si les organisations continuent à utiliser Active Directory comme base de données principale ancrant leur gestion des identités, cette base de données doit être en mesure de faire face à cette nouvelle réalité hybride.

Pour la plupart des professionnels, cela semblera un point évident, réglé depuis longtemps. Les systèmes cloud ne sont pas nouveaux. Pour beaucoup, le monde est sans doute hybride depuis un certain temps, même si ce n'était pas toujours reconnu par les éditeurs. Officiellement, c'est toujours ce qui a été le cas, mais cela n'a pas toujours semblé ainsi. Ce que le passage d'Active Directory au nouveau niveau FFL nous indique, c'est que Microsoft accepte désormais la nouvelle réalité hybride.

## Univers parallèles

Malgré ces signes encourageants, les environnements hybrides d'aujourd'hui font encore face à au moins deux défis étroitement liés lorsqu'ils choisissent Active Directory comme référentiel d'identité : l'intégration cloud et la sécurité. Bien que la tâche d'intégration la plus fondamentale, la synchronisation, puisse être gérée via un serveur Active Directory Federation Services (AD FS), tenter de relier deux environnements issus d'ères informatiques différentes crée inévitablement des failles de sécurité potentielles.

C'est là que les réseaux hybrides deviennent plus complexes à gérer. Active Directory a peut-être bénéficié de quelques améliorations intéressantes avec la mise à jour de Windows Server 2025, mais dans sa configuration par défaut, il reste un système vieillissant et vulnérable, porteur des faiblesses héritées du passé. La plus importante d'entre elles réside simplement dans le fait que, depuis son apparition il y a plusieurs décennies, l'identité est devenue la cible numéro un des attaquants — ce qui, dans un contexte hybride, signifie Active Directory lui-même. Cela peut se produire de diverses manières, notamment par élévation de privilèges au sein d'Active Directory, le ciblage des comptes administrateurs, ou l'utilisation d'une identité compromise pour propager une attaque vers le cloud.

Si tout système d'identité peut devenir une vulnérabilité systémique, y compris ceux basés dans le cloud, Active Directory présente des problèmes bien connus en matière de résistance aux attaques. Dans sa configuration par défaut, il manque de fonctionnalités de sécurité importantes telles que[ l'authentification multifacteur (MFA)](/userlock/fonctionnalites/authentification-multi-facteurs-active-directory), l'accès conditionnel, la surveillance des comptes ou l'authentification unique (SSO). De leur côté, les systèmes cloud ont été conçus pour être sécurisés selon leurs propres critères, sans grande considération pour la nécessité de s'intégrer aux datacenters sur site.

### Combler les lacunes qu'Active Directory laisse ouvertes

C'est là qu'interviennent des solutions telles que [UserLock](/userlock/), pour étendre les stratégies de sécurité de base définies dans les objets de stratégie de groupe (GPO) d'Active Directory. Cela comble les lacunes d'Active Directory, notamment en ce qui concerne le contrôle des sessions simultanées, des connexions RDS, terminaux et VPN, ainsi que la surveillance des utilisateurs en temps réel. Point important : là où Active Directory peut souffrir d'une prolifération des GPO, UserLock centralise la MFA, les contrôles d'accès et la gestion des sessions dans une console unique.

Si Active Directory était lancé aujourd'hui, ce sont là les contrôles dont il serait doté par défaut. Néanmoins, en ajoutant une sécurité moderne à une plateforme incomplète, il devient possible pour les organisations de continuer à utiliser Active Directory dans le cadre d'un déploiement hybride, sans avoir à céder le contrôle à des plateformes d'identité cloud qui ne correspondraient pas à leurs besoins globaux.

Cela nous rappelle que le contrôle est, en définitive, au cœur des réseaux d'aujourd'hui. Les organisations pourraient confier leur infrastructure à une plateforme cloud tierce, mais beaucoup ne le peuvent pas ou préfèrent ne pas le faire. Pendant des années, on leur a dit que c'était une façon d'envisager leur environnement sans avenir. Le datacenter et le cloud ne pouvaient pas coexister harmonieusement sans compromis majeurs en matière de gestion des identités. Mais en associant Active Directory à des outils tiers tels que UserLock, il est possible de construire un réseau hybride qui représente le meilleur des deux mondes.
