Sécurité des identités non humaines
Cydenti est la couche de sécurité dédiée aux identités machines : comptes de service, comptes techniques, clés API, tokens OAuth et agents IA. Là où l'IAM gère les humains, Cydenti gère tout ce qui agit sans eux.
Qu'est-ce qu'une identité non humaine ?
Une identité non humaine (NHI) est tout identifiant qui permet à un logiciel d'agir sans qu'une personne ne se connecte. Cela inclut les comptes de service, les clés API, les tokens OAuth, les certificats machines, les bots d'automatisation et, de plus en plus, les agents IA qui exécutent des tâches de manière autonome dans vos outils SaaS.
Ces identités se sont multipliées bien plus vite que les processus censés les gouverner. Une entreprise de 100 personnes en exploite typiquement plus de 2 000 — la plupart sans propriétaire clairement désigné, sur-privilégiées par rapport à leur usage réel, et sans date d'expiration. Chacune d'elles est une porte d'entrée potentielle vers vos systèmes, souvent plus large et moins surveillée que celle d'un compte utilisateur classique.
L'IAM et l'IGA ont été conçus pour les personnes. Les identités non humaines exigent une couche de sécurité à part — c'est celle-là que Cydenti apporte.
Les quatre familles de risque NHI
La plupart des incidents liés aux identités machines relèvent de l'un de ces quatre schémas.
Identifiants orphelins
Le collaborateur qui a créé ce compte de service ou cette clé API a quitté l'entreprise depuis longtemps, changé d'équipe, ou n'a jamais documenté pourquoi l'identifiant existait. L'identifiant, lui, tourne toujours — sans personne pour le surveiller, le faire tourner ou décider s'il peut être retiré sans casser une intégration critique. Chaque départ, chaque migration, chaque projet abandonné laisse ce type de résidu derrière lui.
Périmètres excessifs
Un token créé pour une tâche précise obtient des droits admin "au cas où", puis les conserve indéfiniment parce que personne ne revient réduire le périmètre une fois le projet livré. La plupart des identités non humaines détiennent bien plus d'accès que ce que leur usage réel exige — ce qui transforme un simple script d'automatisation en clé passe-partout vers des systèmes qu'il n'a jamais eu besoin de toucher.
Tokens dormants mais actifs
Le token n'a rien fait depuis des mois — l'intégration qu'il alimentait a été remplacée, le service qu'il appelait a été mis en pause — mais il reste valide, non expiré et parfaitement fonctionnel. Pour un attaquant, un identifiant oublié qui fonctionne encore est le point d'entrée idéal : aucune alerte ne se déclenche, parce qu'aucune activité n'était attendue de lui pour commencer.
Agents IA sans propriétaire
Des agents IA se connectent désormais à vos outils SaaS avec des identifiants propres — souvent créés en quelques clics par une équipe métier pressée d'automatiser un flux de travail, sans revue de sécurité, sans propriétaire clairement désigné et sans limite explicite sur ce que l'agent peut lire, écrire ou déclencher en votre nom. À mesure que l'IA agentique passe du pilote à la production, cette catégorie croît plus vite que tout autre type d'identité non humaine — et elle hérite d'un coup de tous les schémas de risque précédents : orpheline dès que le porteur du projet change d'équipe, sur-privilégiée dès le premier jour, et vite oubliée une fois l'enthousiasme initial retombé.
Les identités non humaines, pourquoi maintenant
La pression réglementaire converge
La mise en application de NIS2 démarre le 1er octobre 2026, et le référentiel ReCyF de l'ANSSI — son objectif 13 en particulier — cite explicitement les comptes de service, les identifiants machines et les accès à privilèges comme des contrôles à part entière, pas une note de bas de page ajoutée au chapitre sur les identités humaines. DORA impose la même exigence aux entités financières, et l'AI Act européen ajoute une couche d'obligations sur la gouvernance des agents IA autonomes. Concrètement, cela change ce que demande l'auditeur : plus une simple liste d'utilisateurs, mais un inventaire des comptes de service, un propriétaire pour chaque identifiant machine, et la preuve que les tokens dormants sont bien retirés ou renouvelés. Pour la plupart des équipes GRC, ce changement se traduit par une charge nouvelle : les preuves NHI doivent être à jour et défendables en continu, pas reconstituées a posteriori à l'ouverture de la fenêtre d'audit.
L'explosion des agents IA
Chaque nouveau copilote, chaque automatisation, chaque intégration MCP qu'une équipe branche crée une identité non humaine de plus — souvent en quelques clics, souvent sans que la sécurité ne soit dans la boucle. Ce rythme dépasse largement ce qu'un processus manuel peut suivre : le temps de rafraîchir un inventaire, trois nouveaux agents ont déjà obtenu un accès à des systèmes en production. L'écart entre ce qui existe et ce qui est réellement gouverné ne se referme pas tout seul — il s'élargit chaque mois où une entreprise s'appuie sur un tableur ou la mémoire d'une équipe plutôt que sur une découverte continue. Les équipes sécurité qui pouvaient autrefois suivre chaque intégration dans un tableur font désormais face à un inventaire qui change chaque jour, parfois chaque heure, à mesure que de nouveaux agents se connectent sans qu'aucune demande formelle n'ait jamais été déposée.
La réalité des brèches
Le point de départ des plus grosses brèches récentes n'est pas un mot de passe phishé — c'est un token de compte de service dérobé, une application OAuth qui a conservé bien plus de droits qu'il ne lui en fallait, ou une clé jamais renouvelée depuis la livraison du projet qui l'a créée. Les identifiants machines ne déclenchent aucune des alertes conçues pour les connexions humaines, ce qui en fait précisément la porte d'entrée la plus discrète et la plus fiable pour un attaquant. Les analyses post-incident retracent de plus en plus souvent le point d'entrée initial jusqu'à un identifiant que personne ne surveillait — la preuve que l'hygiène des identités machines est devenue aussi critique qu'elle l'a toujours été pour les personnes.
Comment Cydenti couvre le cycle de vie NHI
Cinq étapes, du premier scan à la preuve de conformité.
Découvrir
Inventaire complet des identités non humaines en 27 minutes via API en lecture seule — comptes de service, comptes techniques, clés API, tokens OAuth, certificats machines et agents IA, sur l'ensemble de votre stack SaaS. Aucun agent à installer, aucune fenêtre de maintenance à négocier.
Attribuer
Chaque identité machine se voit assigner un propriétaire humain responsable — fini les comptes de service qui n'appartiennent à personne et que personne n'ose toucher de peur de casser quelque chose. La propriété devient une donnée, pas une supposition.
Durcir
Contrôles de posture continus et recommandations de rotation ramènent chaque identifiant vers le moindre privilège et une durée de vie maîtrisée, avant qu'un périmètre trop large ou un secret jamais renouvelé ne devienne le chemin d'attaque le plus simple.
Défendre
Détection et réponse aux menaces (ITDR) taillées pour les comportements machine — pas pour les schémas de connexion humains. Cydenti repère l'usage anormal d'un compte de service ou d'un token avant qu'il ne devienne un incident déclaré.
Prouver
Des preuves continues, prêtes pour l'auditeur, alignées NIS2, DORA et l'AI Act européen — pas des captures d'écran ponctuelles reconstituées la veille du contrôle. La conformité NHI devient un sous-produit du travail quotidien, pas un projet à part.
Ce que voit l'IAM vs. ce que voit Cydenti
L'IAM et Cydenti ne sont pas en concurrence — ils couvrent deux moitiés différentes du même problème.
Cydenti n'est pas un outil IAM ou IGA. Il complète le vôtre — Okta, Entra ID ou tout autre — en surveillant les identités machines qui gravitent autour, celles que ces outils ne sont pas conçus pour voir.
Découvrez les identités machines que vous ignoriez posséder
— en 27 minutes, gratuitement.
L’application de NIS2 commence le 1er octobre 2026. L’Audit Flash livre votre photographie complète d’exposition NHI — comptes de service, identifiants orphelins, autorisations OAuth, agents IA — avec un premier rapport en 3 heures. Sans engagement.
Sans engagement · Données hébergées en France · Réponse sous 24h