Cyber et IAM : ce que 2025 impose déjà pour 2026

Revenir à la page
Newsletter
Mélanie Lebrun
31/12/2025

Bonjour ️✨,

Je vous retrouve pour l'édition de décembre du Récap'IT.

Dans cette édition de fin d’année, je vous propose un tour d’horizon des signaux forts qui ont marqué 2025 : évolution de l’IAM et des identités applicatives, montée en puissance des agents IA, pression réglementaire, retours d’exercices de crise et décisions des autorités. Autant de sujets qui dessinent déjà les priorités IT et cyber de 2026.

Bonne lecture et excellentes fêtes de fin d’année 🎉!

📅 Au programme aujourd’hui :

  • 2025 un point de bascule dans l'IAM
  • Leçons cyber de 2025
  • Apple sanctionnée en Italie
  • La présidente du Clusif apporte un point de vue
  • Sanction CNIL
  • Rempar25 : débrief
  • L'actu chez Youzer

👉 Go !!

Avant de commencer, je vous invite à nous suivre 👉

­

📈IAM : pourquoi 2025 marque un vrai point de bascule

En 2025, l’IAM a clairement changé de dimension.
Le rapport Identity & Access Management Trends Report 2025 d’Airitos dresse un état des lieux des évolutions observées tout au long de l’année et met en lumière plusieurs ruptures majeures qui ne relèvent plus de la prospective, mais de l’opérationnel.

  • Les identités non humaines dominent désormais les SI
    Comptes de service, API, workloads, clés et tokens représentent jusqu’à 100 fois plus d’identités que les utilisateurs humains. La plupart des architectures IAM actuelles n’offrent ni la visibilité ni la gouvernance nécessaires à cette échelle.
  • Les agents IA deviennent des acteurs à part entière du système d’information
    Ces agents accèdent aux applications, enchaînent des appels API et prennent des décisions sans intervention humaine. Le rapport souligne que près de 9 organisations sur 10 estiment ne pas être prêtes à gérer les risques identitaires associés.
  • Les accès tiers ne sont plus un sujet marginal
    Prestataires, partenaires, SaaS et intégrations représentent une part croissante des identités actives. Dans certains environnements, jusqu’à 75 % des accès sont externes, alors que les modèles de gouvernance restent majoritairement conçus pour des utilisateurs internes.
  • La compromission d’identités est devenue le point d’entrée principal des attaques
    Le credential stuffing, désormais piloté par l’IA, progresse fortement (+160 % en un an). La majorité des incidents ne reposent plus sur des failles techniques mais sur des identités valides, mal protégées ou mal gouvernées.
  • La vérification d’identité est mise sous tension par les deepfakes
    Les attaques par usurpation sophistiquée remettent en cause les modèles classiques d’authentification. Le défi n’est plus seulement de renforcer la sécurité, mais de le faire sans dégrader l’expérience utilisateur.
  • eIDAS 2.0 et les wallets d’identité passent du cadre réglementaire à l’usage réel
    Banques, administrations et grands acteurs SaaS commencent à intégrer les EU Digital Identity Wallets. L’identité numérique devient progressivement une brique d’infrastructure, et plus seulement un sujet de conformité.
  • Le Zero Trust est largement adopté… mais rarement pleinement opérationnel
    Si la majorité des organisations se revendiquent Zero Trust, peu ont réellement mis en place la vérification continue des identités, notamment dans des environnements hybrides et legacy.
  • L’IAM reste sous-financé malgré son rôle central dans les incidents
    Le rapport pointe un décalage persistant entre le coût réel des brèches liées aux identités et les budgets alloués à leur gouvernance, alors même que l’identité devient un pilier de la cyber-résilience.

Source : Airitos

Récapitulatif IAM 2025

Recevez le meilleur des actus IT du mois.
Évolution du marché, tendances IT, les cyberattaques en France ... un condensé de l'actualité

Recevoir l'actu IT

💡Les grandes leçons cyber de 2025 : l’humain, l’IA et la responsabilité au cœur du risque

Le bilan cyber de 2025 confirme une réalité désormais bien établie : la sophistication technique progresse, mais l’humain reste le point d’entrée privilégié des attaques, comme l’ont montré plusieurs campagnes de social engineering très ciblées, notamment dans les secteurs régulés.

En parallèle, l’adoption massive de l’IA générative a ouvert de nouveaux angles morts : hausse spectaculaire des usages non encadrés, exposition de données sensibles via des outils grand public, et apparition d’attaques exploitant directement les modèles (prompt injection, désinformation automatisée).

Les incidents touchant les infrastructures critiques et les chaînes de sous-traitance rappellent quant à eux que les impacts cyber ne sont plus abstraits, mais immédiatement opérationnels.

Enfin, 2025 marque un tournant sur le plan de la gouvernance : la responsabilité cyber remonte clairement au niveau des directions générales, avec des mécanismes liant performance sécurité, arbitrages budgétaires et responsabilité des dirigeants. Un message clair pour les organisations : la cyber-résilience repose désormais autant sur les choix humains et organisationnels que sur les outils.

Source : computerweekly

Leçons cyber 2025: l'humain, l'IA et responsabilités

🍎Apple sanctionnée en Italie : quand la protection de la vie privée devient un levier de concurrence

L’Autorité italienne de la concurrence a infligé fin décembre une amende de 98,6 millions d’euros à Apple pour abus de position dominante lié à son dispositif App Tracking Transparency (ATT).

En cause : des règles de consentement jugées disproportionnées et imposées de manière unilatérale aux développeurs tiers, alors que les services d’Apple bénéficieraient de conditions plus favorables. Après une sanction similaire en France et sous l’œil attentif d’autres régulateurs européens, cette décision illustre une tension croissante entre gouvernance des accès, consentement utilisateur et équité concurrentielle.

Un signal fort pour les DSI : les mécanismes d’identité et de contrôle d’accès ne sont plus seulement des sujets de sécurité ou de conformité, mais aussi des enjeux économiques et réglementaires structurants.

Source : SiècleDigital

Apple paye une amende sur des règles de consentement

🎤Souveraineté, NIS 2, IA : le Clusif veut éclairer les Comex sur les vrais choix cyber

Dans un contexte de tensions géopolitiques, de pression réglementaire accrue et d’adoption rapide de l’IA, la nouvelle présidente du Clusif, Odile Duthil, insiste sur un point clé : la cybersécurité doit désormais être comprise et arbitrée au niveau des comités exécutifs.

L’association travaille ainsi à fournir des grilles de lecture concrètes sur l’autonomie stratégique, la sensibilité des données et les choix d’hébergement, loin des discours dogmatiques. Côté réglementation, NIS 2 s’inscrit dans un ensemble plus large (DORA, CRA) visant à relever la maturité globale des organisations et de leurs fournisseurs, avec un accent fort sur la gestion des tiers et la connaissance des fragilités du SI.

Enfin, le Clusif alerte sur les risques liés à l’IA générative — fuites de données, fraude, phishing — tout en rappelant qu’elle devient aussi un levier de détection, et appelle à anticiper dès maintenant des sujets de long terme comme le chiffrement post-quantique. Un message clair : la cyber n’est plus un sujet technique isolé, mais un enjeu de gouvernance et de décision stratégique.

Source : LeMondeInformatique

La cybersécurité doit être comprise et arbitrée au niveau des comités exécutifs selon Odile Duthil

Vous souhaitez recevoir notre livre blanc sur la gestion des identités et des accès ?

Nous n'avons pas pu confirmer votre demande.
Votre demande de livre blanc est bien prise en compte.

💸Sanction CNIL : quand la sécurité applicative devient un risque réglementaire majeur

La CNIL a infligé fin décembre une amende de 1,7 million d’euros à NEXPUBLICA France pour des manquements graves à l’obligation de sécurité prévue par l’article 32 du RGPD, concernant un logiciel utilisé par des acteurs publics dans le domaine de l’action sociale. L’enquête met en évidence une faiblesse structurelle du système d’information, des vulnérabilités relevant de principes élémentaires de sécurité et, surtout, des failles connues et documentées par des audits, mais corrigées seulement après des violations de données impliquant des informations particulièrement sensibles.

Au-delà du montant de la sanction, ce dossier envoie un message clair : pour les éditeurs comme pour les DSI utilisateurs, l’absence de correction de vulnérabilités identifiées n’est plus tolérée, et la sécurité applicative s’impose désormais comme un enjeu de conformité et de responsabilité, y compris dans des environnements métiers critiques.

Source : CNIL

La CNIL inflige une amende à NEXPUBLICA France pour non respect des règles de sécurité des SI

🤔Exercice Rempar25 : des réflexes cyber acquis, mais une préparation de crise encore incomplète

Rempar est un exercice national de cyber-crise organisé par l’ANSSI, destiné à tester en conditions réelles la capacité des organisations à gérer un incident cyber majeur (dont je parlais dans l'édition de septembre).

Les retours de l’exercice Rempar25  montrent une progression nette sur les premières actions techniques en situation de crise : identification rapide des priorités, confinement et sécurisation des SI sont globalement bien maîtrisés.

En revanche, l’ANSSI pointe des lacunes persistantes sur des volets pourtant critiques, en particulier la continuité d’activité, la sortie de crise et l’anticipation, traitées de manière partielle par une part significative des participants. Les organisations les plus matures se distinguent par des plans de continuité d’activité clairs, connus des équipes et régulièrement testés, facilitant la mobilisation rapide des métiers supports et de la direction.

À l’inverse, les structures moins préparées peinent encore à coordonner les bons acteurs au bon moment, révélant un décalage entre la maîtrise technique et la gouvernance globale de crise. Un signal fort : la cyber-résilience ne se joue plus uniquement dans le SOC, mais dans la capacité de l’organisation à fonctionner sous contrainte.

Source : Lemondeinformatique

Avancées et enjeux cyber via Rempar25

Zoom chez Youzer

My Youzer : une interface unique pour piloter les accès, côté utilisateurs et managers

My Youzer est l’interface dédiée aux utilisateurs finaux et aux managers pour simplifier la gestion des accès au quotidien. Chaque utilisateur dispose d’une vue claire sur l’ensemble des comptes et applications auxquels il a accès, tandis que les managers peuvent consulter les habilitations de leurs collaborateurs et intervenir directement sur les sujets qui les concernent.

Concrètement, My Youzer permet :

  • de visualiser les comptes et accès (utilisateur ou équipe) depuis une interface unique ;
  • pour les managers, de participer aux revues d’habilitations et de valider les accès sans passer par des fichiers ou des relances manuelles ;
  • de centraliser les demandes de services (accès à une application, dotation) via un catalogue paramétrable ;
  • de faire une demande pour soi ou pour un membre de son équipe, avec des règles et restrictions définies par l’IT.

Chaque demande est ensuite prise en charge par Youzer App et intégrée dans un circuit de validation entièrement paramétrable : les valideurs reçoivent la demande, l’approuvent ou la refusent, puis le provisioning est lancé manuellement ou automatiquement. My Youzer apporte ainsi plus de fluidité pour les métiers, tout en garantissant contrôle, traçabilité et gouvernance des accès pour les équipes IT et sécurité.

Je veux une démo

Zoom My Youzer, simplifier la gestion des accès au quotidien

Merci de m'avoir lu jusqu'ici !

Un retour, envie de discuter d'un projet ?

Je suis là pour ça 👋.

👉Répondez à cette newsletter

👉Contactez-nous sur Youzer

On vous a transféré la newsletter et vous la trouvez top ??  Inscrivez-vous ici 👇

Je m'inscris au Récap'IT

Partagez cette newsletter, c'est ce qui la fait vivre !

Linkedin Melanie Lebrun

Tous les mois je vous envoie mes découvertes, mes analyses sur l'actu IT.
Je fais beaucoup de veille et je partage tout ça !

Je suis Mélanie et je suis responsable marketing de Youzer.

À propos de moi ? J'ai une soif d'apprendre inétanchable ! Je préfère 100 fois lire un livre que voir un film. Je suis une fan d'HP 🧙🏼.
Je fais du running et du roller sport collectif (cherchez pas, c'est dangereux).