Infostealers : quand la souveraineté numérique commence par la gestion des identités

# Infostealers : quand la souveraineté numérique commence par la gestion des identités

*Les infostealers sont devenus l'arme silencieuse des cybercriminels. Mais derrière la menace technique se cache un problème structurel : la majorité des PME et ETI européennes gèrent leurs identités dans des infrastructures qu'elles ne contrôlent pas vraiment. Un DSI d'une ETI industrielle française nous livre son analyse sans détour.*

RiffLab : Les infostealers font beaucoup parler d'eux depuis deux ans. Concrètement, qu'est-ce que ça change dans votre quotidien de DSI ?

Ce qui a changé, c'est la vitesse. Un credential volé peut se retrouver exploité en quelques heures sur des marchés clandestins. Avant, on avait une fenêtre. Aujourd'hui, elle est quasi inexistante. Mais ce qui m'a vraiment frappé en 2025, c'est que les infostealers ne ciblent plus seulement les machines d'entreprise mal protégées. Ils s'en prennent aux navigateurs, aux gestionnaires de mots de passe installés en local, aux tokens de session. Et là, on touche à quelque chose de fondamental : si vos collaborateurs stockent leurs credentials professionnels dans le gestionnaire de mots de passe natif de leur navigateur — que ce soit celui d'un acteur américain dominant — vous n'avez aucune visibilité sur ce qui est compromis, aucun levier de rotation rapide, aucune piste d'audit exploitable. La dépendance à ces environnements fermés se révèle brutalement en cas d'incident.

RiffLab : Vous parlez de verrouillage. Est-ce que la question des infostealers aggrave concrètement la dépendance des entreprises européennes aux acteurs américains ?

Oui, et de façon assez perverse. La réponse « naturelle » à la menace infostealer, quand on est dans un écosystème Microsoft ou Google, c'est d'aller vers leurs propres solutions de gestion d'identité et d'accès. C'est fluide, ça s'intègre bien, ça coche les cases dans les comités de direction. Mais ce faisant, vous confiez la gestion de vos identités — le cœur de votre sécurité — à l'acteur américain dont vous utilisez déjà les applications, l'hébergement, parfois la messagerie. C'est une concentration de dépendances qui devient critique. Si demain cet acteur change sa politique de licences, si ses tarifs évoluent, si une décision réglementaire américaine affecte ses engagements contractuels en Europe — ce qui n'est plus un scénario hypothétique en 2026 — vous n'avez aucune marge de manœuvre. Votre identité numérique est otage.

RiffLab : Comment on sort de ce cercle ? Il existe des alternatives européennes crédibles sur la gestion des identités et des credentials ?

Oui, et elles ont mûri. Je vais vous donner un exemple concret sans faire la liste exhaustive. Nous avons déployé Passbolt, qui est un gestionnaire de mots de passe open source, auto-hébergeable, avec un modèle de chiffrement bout-en-bout basé sur OpenPGP. L'entreprise est luxembourgeoise. Vous pouvez l'héberger sur une infrastructure souveraine, vous avez accès au code, vous auditez ce que vous voulez. Ce n'est pas parfait — aucun outil ne l'est — mais le rapport souveraineté/fonctionnalité est bien meilleur que ce que proposent les acteurs américains pour une ETI de notre taille. Sur la partie gestion des identités et SSO, il y a des acteurs européens sérieux. Le marché existe. Ce qui manque encore, c'est l'accompagnement des intégrateurs : trop peu de partenaires proposent une migration complète hors des écosystèmes américains, parce qu'ils vivent eux-mêmes des certifications et des marges sur ces mêmes écosystèmes. C'est un vrai frein.

RiffLab : On parle souvent de MFA comme réponse aux credentials volés. Mais est-ce que le MFA tel qu'il est déployé massivement aujourd'hui est vraiment souverain ?

C'est une excellente question que personne ne pose vraiment. Le MFA par SMS ou par application d'authentification, dans 80% des déploiements que je vois en PME/ETI, passe par des infrastructures dont on ne maîtrise ni l'hébergement ni les conditions de traitement des données. Les applications d'authentification les plus répandues sont américaines. Les passerelles SMS sont souvent gérées par des opérateurs ou des agrégateurs dont la chaîne de sous-traitance est opaque. Est-ce que votre second facteur est réellement sécurisé et souverain ? Rarement. Ce que je préconise, c'est de travailler sur des clés physiques FIDO2 — il y a des fabricants européens — et sur des solutions d'authentification open source auto-hébergées. C'est plus complexe à déployer, je ne vais pas vous mentir. Mais quand on parle de MFA pour des accès critiques, c'est le niveau de rigueur qu'on doit s'imposer.

RiffLab : Les contrats avec les acteurs américains contiennent souvent des clauses sur la gestion des incidents. En cas de vol de credentials massif, est-ce que l'entreprise européenne est réellement protégée ?

Protégée, non. Informée, parfois. C'est une distinction importante. Les contrats des acteurs américains dominants prévoient généralement des notifications d'incidents, mais dans des délais et selon des formats qui leur sont favorables. La question de la juridiction est centrale : si l'incident implique des données hébergées aux États-Unis ou transitant par des entités américaines soumises au Cloud Act, vous pouvez avoir une enquête judiciaire américaine active sur vos propres données sans en être informé, et sans pouvoir vous y opposer efficacement depuis l'Europe. Ce n'est pas de la théorie — c'est le cadre légal réel. Face à un infostealer qui a aspiré des tokens de session stockés dans un environnement cloud américain, votre capacité à auditer, à comprendre le périmètre exact de la compromission, et à l'expliquer à votre assureur cyber ou à votre autorité de contrôle reste très limitée. C'est un angle mort réglementaire et opérationnel considérable.

RiffLab : Qu'est-ce que vous diriez à un DSI qui se dit « je n'ai pas les ressources pour sortir de ces écosystèmes » ?

Je lui dirais qu'il confond le coût du changement avec le coût de la dépendance. Le coût du changement, vous le voyez tout de suite : migration, formation, frictions. Le coût de la dépendance, vous le découvrez trop tard, sur une facture de renouvellement multipliée par deux, sur un incident dont vous ne maîtrisez pas l'investigation, ou sur une mise en conformité RGPD que vous ne pouvez pas documenter proprement parce que l'acteur américain ne vous donne pas accès aux logs dont vous avez besoin. Ce n'est pas un argument idéologique. C'est de la gestion de risque. Sur la question des ressources, je suis pragmatique : on ne peut pas tout migrer en même temps. Mais on peut commencer par ce qui est le plus critique — la gestion des identités et des credentials — parce que c'est là que les infostealers font le plus de dégâts, et c'est là que la dépendance est à la fois la plus forte et la plus silencieuse. Choisissez un périmètre, faites-le proprement, documentez les gains. C'est comme ça qu'on construit une souveraineté numérique réelle, pas en déclarations, mais en décisions techniques successives et irréversibles.

*ETI industrielle française, environ 800 collaborateurs, secteur manufacturier. Le DSI a requis l'anonymat.*