Derrière le masque numérique : comment combattre la fraude à l’identité ?

Etay Maor, chief security strategist, Cato Networks partage son expertise du sujet.

Alors que, dans le monde physique, l’identité repose sur des éléments tangibles comme un visage ou une empreinte digitale, dans le monde numérique, elle dépend d’identifiants ou de clés virtuelles. Or ces clés, censées protéger les utilisateurs mais souvent volées ou compromises, ont transformé l’identité en maillon critique de la cybersécurité.

Le défi pour les entreprises consiste à la fois à distinguer un employé authentique d’un acteur malveillant et une activité inhabituelle d’une véritable attaque. Et c’est dans l’analyse du contexte que réside une partie de la solution : sans une compréhension fine du comportement habituel de chaque utilisateur, il est impossible de différencier le normal du suspect. Définir ce que signifie « normal » pour chacun devient ainsi la première ligne de défense.

L’usurpation d’identité s’est professionnalisée. Derrière les attaques se cache un véritable écosystème criminel, organisé et lucratif. Les courtiers en accès initial (IAB) en sont un exemple : ils infiltrent les réseaux d’entreprise, volent des identifiants pour les revendre à d’autres groupes sur le dark web. Ces derniers les utilisent pour mener des attaques plus ciblées, comme la prise de contrôle de comptes (ATO). En quelques clics, un acteur malveillant peut se faire passer pour un collaborateur, se déplacer latéralement dans un réseau, exfiltrer des données sensibles ou contourner les contrôles d’accès internes.

À cela s’ajoutent le vol d’identité classique, le credential stuffing, qui exploite la réutilisation des mots de passe, et bien sûr, le phishing, indétrônable méthode d’ingénierie sociale. Quant à la fraude par e-mails d’entreprise (BEC), elle illustre la capacité des cybercriminels à manipuler la confiance humaine : un simple message usurpant un cadre ou un fournisseur peut suffire à déclencher un virement frauduleux. Ces tactiques, devenues extrêmement sophistiquées, échappent de plus en plus aux systèmes de détection fondés uniquement sur les identifiants ou les signatures techniques. C’est le cas de Scattered Spider, un groupe spécialisé dans le détournement de comptes et l’usurpation d’identité via des attaques BEC.

Etay Maor, chief security strategist, Cato Networks

Face à cette réalité, la clé réside dans le contexte. Une connexion depuis un autre fuseau horaire, un appareil inconnu ou une heure inhabituelle ne sont pas en soi des preuves d’attaque, mais des signaux qui nécessitent interprétation. Pour distinguer l’utilisateur légitime de l’intrus, les équipes de sécurité doivent raisonner en termes de comportements : où, quand et comment une identité agit-elle habituellement ? Ces repères, réunis dans une base comportementale, permettent d’identifier les écarts significatifs et d’éviter les fausses alertes.

Construire une base comportementale solide, c’est établir une ligne de référence propre à chaque utilisateur. Elle englobe les horaires de connexion, le type d’appareil, la localisation géographique, les applications fréquemment utilisées. Tout écart notable devient un indicateur d’alerte, mais interprété dans son contexte global. Cette approche transforme des données brutes en informations exploitables, facilitant la détection de menaces souvent invisibles dans la masse d’activités quotidiennes. Car la fraude à l’identité prospère justement là où tout semble normal : derrière des connexions familières, des horaires plausibles, des comportements apparemment cohérents. Pour révéler ces dissonances discrètes, les équipes de cybersécurité doivent favoriser une visibilité multi-sources. En croisant les logs d’authentification, les traces réseau, les accès aux applications ou les échanges par e-mail, les analystes peuvent dresser une image complète du comportement d’un utilisateur. Cette vision unifiée permet de repérer les incohérences qu’un système isolé ne pourrait pas détecter, réduit les faux positifs et met en évidence les menaces réelles.

La visualisation joue ici un rôle déterminant. En représentant les comportements sous forme de chronologies ou de cartes interactives, une équipe RSSI peut repérer d’un coup d’œil les anomalies : un pic d’activité inhabituel, une connexion soudaine depuis l’étranger ou un changement d’appareil non justifié. Ces outils transforment les données techniques en récits visuels, rendant l’analyse plus intuitive et plus rapide.

Mais même avec des analyses avancées, aucune organisation n’est à l’abri d’une compromission. C’est pourquoi le modèle du zero trust s’impose comme la réponse la plus adaptée à ce nouvel environnement. Son principe est simple mais radical : ne rien présumer, toujours vérifier. Chaque utilisateur, chaque appareil et chaque système doit prouver en permanence sa légitimité avant d’obtenir ou de conserver un accès. Ce modèle repose sur une validation continue et contextuelle de l’identité, supprimant la confiance implicite qui a longtemps permis aux intrus de se fondre dans la masse.

La lutte contre la fraude à l’identité ne consiste donc plus seulement à multiplier les alertes, mais à donner du sens à ce que l’on observe. Comprendre les comportements, relier les signaux et contextualiser chaque action permet de bâtir une sécurité fondée sur des preuves plutôt que sur des suppositions. Quand les frontières numériques se brouillent, la cybersécurité doit évoluer : elle ne vise plus seulement à bloquer les attaques, mais à restaurer la confiance dans la fiabilité des identités.

Dans cette quête de confiance, le véritable enjeu n’est pas seulement de repérer le masque, mais de reconnaître avec certitude qui se cache derrière.