- Une organisation de taille moyenne gère en moyenne plusieurs centaines d'applications — chacune potentiellement avec son propre référentiel d'identités, ses propres règles de mots de passe et ses propres droits d'accès.
- Equifax (2017) : la violation a touché 147 millions de personnes en partie parce que les identités numériques et les droits d'accès n'étaient pas centralisés, permettant au malware de se propager latéralement sans rencontrer de segmentation d'autorisation.
- Marriott/Starwood (2018) : quatre ans de présence non détectée dans les systèmes ont été possibles parce que les identités héritées de Starwood n'ont jamais été intégrées dans le référentiel centralisé de Marriott après le rachat.
- Sans référentiel centralisé, toute opération sur le cycle de vie d'une identité — création, modification, suppression — doit être répercutée manuellement sur chaque système, avec un taux d'erreur et d'omission élevé.
- La fédération d'identités (SAML, OAuth 2.0, OIDC) permet d'étendre la centralisation aux applications SaaS et partenaires sans les intégrer à l'annuaire interne — c'est l'architecture de référence pour les organisations hybrides.
La dispersion des identités numériques est l'une des conséquences les plus concrètes de vingt ans de transformation digitale non planifiée. Chaque projet applicatif a créé son propre référentiel d'utilisateurs, ses propres règles de gestion des mots de passe, ses propres mécanismes d'accès. Le résultat est une constellation d'annuaires et de bases d'utilisateurs partiellement synchronisés, partiellement incohérents, et collectivement impossibles à gouverner sans outillage dédié.
Pour un RSSI, cette dispersion se traduit directement en surface d'attaque : chaque référentiel d'identités séparé est un point de défaillance potentiel. Un mot de passe faible dans une application métier secondaire peut devenir un vecteur d'accès initial si les credentials sont réutilisés — pratique courante malgré les politiques contraires. La centralisation n'est pas seulement un objectif opérationnel d'efficacité ; c'est une mesure de réduction du risque.
Les causes de la dispersion des identités
La dispersion des identités résulte de plusieurs dynamiques cumulatives. La croissance organique des applications : chaque nouveau projet déploie sa propre gestion d'utilisateurs plutôt que de s'intégrer au référentiel existant, soit par manque de standards, soit parce que l'intégration est jugée trop coûteuse à court terme. Les acquisitions et fusions : chaque entité rachetée apporte ses propres annuaires, ses propres politiques de mots de passe, ses propres comptes de service. Le shadow IT : des applications SaaS adoptées sans validation IT créent des référentiels d'identités hors du périmètre de gouvernance.
À ces dynamiques s'ajoute la fragmentation cloud : les plateformes AWS, Azure et GCP ont chacune leurs propres mécanismes IAM, créant des silos d'identités cloud parallèles aux identités on-premise. Une organisation multi-cloud sans stratégie de centralisation peut gérer simultanément des identités dans Active Directory, Azure AD, AWS IAM, des applications SaaS via des comptes locaux, et des identités dans des systèmes hérités — sans gouvernance unifiée entre ces domaines.
La violation Yahoo de 2013, révélée seulement en 2016, a mis en évidence l'absence de centralisation efficace des identités sur les systèmes les plus critiques. La base de données d'authentification — qui aurait dû être le composant le plus isolé et le plus surveillé — était accessible depuis des serveurs applicatifs via des chemins non documentés dans l'architecture. L'absence de source unique de vérité pour les identités et les droits d'accès a rendu impossible une détection rapide de la compromission. Trois milliards de comptes ont été affectés, et la violation n'a été découverte qu'à l'occasion de la due diligence liée au rachat de Yahoo par Verizon — trois ans après les faits.
Architecture de centralisation : annuaire, fédération, gouvernance
La centralisation des identités repose sur trois couches complémentaires. L'annuaire central (Active Directory, LDAP, ou un IdP cloud comme Azure AD / Okta) constitue la source de vérité pour les identités humaines internes : attributs, appartenance aux groupes, état du compte. C'est depuis cet annuaire que les droits d'accès aux systèmes intégrés sont gérés en cascade.
La fédération d'identités (SAML 2.0, OAuth 2.0, OpenID Connect) étend la centralisation aux applications SaaS et aux partenaires externes : au lieu de créer un compte local dans chaque application, l'utilisateur s'authentifie une seule fois auprès de l'IdP central et reçoit un token reconnu par les applications fédérées. Cette architecture élimine les comptes locaux multiples et garantit que la désactivation dans l'annuaire central se propage immédiatement à toutes les applications fédérées.
Centralisation et gouvernance des identités non humaines
La centralisation doit s'étendre aux identités non humaines : comptes de service, API keys, tokens OAuth, identités de workloads cloud. Ces identités représentent souvent la majorité numérique dans les organisations cloud-native, et leur dispersion est encore plus prononcée que celle des identités humaines. Un vault de secrets centralisé (HashiCorp Vault, AWS Secrets Manager, Azure Key Vault) joue pour les identités non humaines le rôle que l'annuaire joue pour les identités humaines : source de vérité, point de rotation automatique, journal d'audit centralisé.
La violation T-Mobile affectant 50 millions de clients a résulté d'une API exposée en périphérie du réseau dont les droits d'accès n'étaient pas gérés dans le référentiel centralisé de l'organisation. Les permissions de l'API — définies localement lors de sa création — n'avaient jamais été auditées ni intégrées dans les processus de revue périodique. La fragmentation des identités et des droits d'accès entre les différents systèmes a empêché la visibilité sur ce vecteur d'attaque avant l'incident.
La fuite de données SNCF affectant dix millions de clients a mis en lumière les risques de la dispersion des identités dans un contexte de transformation numérique rapide. De nouvelles plateformes digitales créées en parallèle des systèmes existants avaient généré des référentiels d'identités et des droits d'accès non intégrés au système de gouvernance central. L'absence de visibilité unifiée sur les identités et les droits d'accès à ces nouvelles plateformes a permis l'accumulation de droits non maîtrisés sur des données clients sensibles.
La violation SingHealth a exposé les données de 1,5 million de patients via un compte aux droits excessifs sur la base de données patients. L'enquête a révélé que les droits d'accès aux systèmes cliniques n'étaient pas gouvernés depuis un référentiel centralisé unique, ce qui avait permis l'accumulation de permissions larges sur des comptes dont le profil d'accès n'était jamais révisé. La centralisation des identités et des droits d'accès dans les hôpitaux singapouriens a été imposée réglementairement à la suite de cet incident.