L’identité, clé de voûte de la cybersécurité moderne

Alors que les organisations s’appuient de plus en plus sur les identités numériques pour gérer les accès à des plateformes et à des environnements de plus en plus variés, il devient essentiel de comprendre l’évolution du paysage des menaces associées.

1. Comment les pirates exploitent les identifiants et les privilèges

Les menaces liées à l'identité incluent des tactiques telles que l’ingénierie sociale, le vol d'identifiants, l’escalade de privilèges, les mouvements latéraux et l’utilisation abusive de comptes privilégiés ou de services. Les pirates ciblent souvent les systèmes d’identité car la compromission d’un seul compte peut leur offrir un accès à de nombreuses applications et plateformes cloud.

2. Une surface d’attaque élargie dans les environnements hybrides et multicloud

Les environnements hybrides et multicloud introduisent des fournisseurs d’identité disparates, des modèles d’authentification fédérée et des politiques d’autorisation complexes. En conséquence, la surface d’attaque s’élargit, rendant les compromissions centrées sur l’identité plus faciles à étendre et plus difficiles à détecter sans une visibilité suffisante.

Transformer l’identité en signaux de détection à haute fidélité

Mais alors, comment les événements liés à l’identité et à l’authentification sont suivis et analysés afin d’aider les organisations à détecter les menaces et à y répondre avant qu’elles ne s’aggravent.

1. Surveillance des événements d'authentification

Les systèmes d'identité suivent les connexions à travers les applications, les appareils, les réseaux et les régions. Des contrôles tels que l'authentification multifacteur (MFA), l'accès conditionnel et l'authentification basée sur les risques renforcent la détection en mettant en évidence certains indicateurs. Voici quelques exemples :
• Connexions provenant de localisations trop éloignées
• Heures de connexion inhabituelles
• Appareils risqués ou inconnus
• Échecs d'authentification excessifs
• Tentatives de contournement ou de déclassement de la MFA
Ces signaux constituent souvent les premiers indices d’un attaquant testant les faiblesses d’un système d’identité.

2. Détection des accès anormaux et de l’utilisation des privilèges

Les contrôles d’identité permettent de déterminer qui a accès à quelles ressources. Les indicateurs de menace incluent notamment :
• Une élévation soudaine ou inexpliquée des privilèges
• Un comportement inhabituel des comptes de service
• Des sessions privilégiées en dehors des process habituels
• Des modèles d’accès incompatibles avec le rôle traditionnel d’un utilisateur
De telles anomalies peuvent révéler des menaces internes ou des tentatives de mouvement latéral.

3. Utilisation de la posture et du contexte pour renforcer la détection

Les nouveaux contrôles d’identité intègrent la posture de sécurité des terminaux, la confiance du réseau et le statut de conformité dans les décisions d’authentification. Les sessions peuvent être signalées, contestées ou bloquées en fonction des signaux de risque en temps réel. Une meilleure gouvernance des identités (rationalisation des droits et réduction des comptes inactifs) renforce la détection en limitant le bruit dans l’empreinte identitaire.

Déployer des contrôles d’identité comme indicateurs précoces d’une attaque

Bien que nous comprenions l’importance cruciale d’une vision à 360 degrés des identités, trois raisons principales expliquent pourquoi sa mise en œuvre peut s’avérer difficile.

1. Fragmentation des fournisseurs d’identité entre les différentes plateformes cloud

Les entreprises rencontrent des difficultés à garantir une visibilité cohérente en raison de la multiplicité des systèmes d’identité et des flux d’authentification fédérée.

2. Incohérences dans la journalisation et lacunes en matière d’intégration

La diversité des formats de journalisation et la faible intégration entre les plateformes limitent les capacités de détection et d’analyse.

3. Nécessité d’une gouvernance multiplateformes et d’un alignement des politiques

Des audits réguliers, un alignement de la gouvernance et une harmonisation des politiques entre les différents environnements cloud sont nécessaires afin d’éviter les angles morts et de renforcer l’identification des menaces.

C’est dans ce contexte qu’intervient la détection et réponse aux menaces d’identité (en anglais Identity Threat Detection and Response ou ITDR).

Intégrer l’ITDR dans les SOC

Face à ces défis et à l’escalade rapide des menaces, l’identité devient un élément central, à la fois pour la détection et pour la réponse aux menaces au sein des centres d’opérations de sécurité (en anglais Security Operations Center ou SOC).

1. L’identité comme signal de détection central dans les SOC

Les journaux d’identité et les événements à risque constituent des éléments fondamentaux de l’ITDR. Ils offrent une visibilité précoce sur les activités suspectes, avant même qu’un attaquant n’atteigne les systèmes critiques.

2. Actions de réponse automatisées centrées sur l’identité

Lorsqu’une activité à risque est détectée, les contrôles d’identité permettent une atténuation ciblée, telle que la révocation des jetons de session, l’application de la MFA, la réinitialisation du mot de passe ou encore la suspension des comptes. Ces actions permettent de contenir les menaces de manière rapide et précise.

Si ces approches améliorent l’identification des menaces, les entreprises rencontrent toutefois des difficultés à obtenir une visibilité et un contrôle cohérents entre les différentes plateformes. Comme mentionné précédemment, la disparité des systèmes d’identité, l’incohérence des journaux et les lacunes en matière d’intégration peuvent entraver une détection complète des menaces. Des audits réguliers, l’harmonisation des politiques entre les plateformes et des investissements dans des analyses avancées sont essentiels pour surmonter ces obstacles.