Gestion de la sécurité des identités : connaître les écueils pour les dépasser
La voie royale des criminels demeure le vol et l'usurpation d'identifiants, il est donc urgent que les entreprises se dotent d'une solution de gestion de la sécurité des identités. Cette dernière est en effet une composante clé de toute stratégie de cybersécurité pérenne de type Zero Trust.
Selon le cabinet de conseil Wavestone, malgré une hausse de trois points par rapport à 2022, moins de la moitié des grandes entreprises en France (49 %) sont matures en matière de cybersécurité. Or, ces dernières années, les cyberattaques ont redoublé de sophistication et sont de plus en plus récurrentes.
La voie royale des criminels demeure le vol et l'usurpation d'identifiants, il est donc urgent que les entreprises se dotent d'une solution de gestion de la sécurité des identités. Cette dernière est en effet une composante clé de toute stratégie de cybersécurité pérenne de type Zero Trust.
On s'imagine souvent que les équipes chargées de la détection des menaces, des investigations et des actions de neutralisation sont dotées d'outils omniscients, qui détectent automatiquement tout comportement nocif dans l'infrastructure, les applications et les appareils. En réalité, la surveillance des menaces, la correction des vulnérabilités et l'exécution des plans de réponse aux incidents demandent énormément de travail.
Lire aussi : La XRD peut-elle remplacer les SIEM dans les SOC ?
Les équipes SOC (Security Operations Center) doivent donc collaborer avec tous les personnels de sécurité pour collecter et analyser les bonnes données et ignorer les faux positifs (soient les éléments non pertinents). Dans le cas de la sécurité des identités, cela signifie être en mesure de distinguer des comportements illégitimes d'utilisateur, ou non sécurisés, afin de réagir rapidement s'il s'agit d'un accès à privilèges.
Nos rapports récents révèlent que la compromission d'identifiants est le scénario le plus signalé. En effet, la plupart des cyberattaques empruntent la voie la plus aisée : usurper une identité, puis se déplacer latéralement tout en élevant progressivement ses privilèges.
Pourtant, même si elles sont conscientes de ce risque, de nombreuses entreprises peinent à améliorer leur détection des menaces, et donc à lutter contre le risque principal pesant sur leur cybersécurité : la compromission des identités et des informations d'identification.
Pour incarner l'approche Zero Trust et toujours agir comme si une attaque était en cours, les organisations doivent par conséquent améliorer leur capacité à répondre rapidement aux opérations malveillantes ciblant une ou plusieurs identités. Et pour ce faire, les entreprises doivent surmonter plusieurs difficultés.
La diversité des méthodes d'attaque
Les hackers disposent de nombreuses tactiques efficaces pour compromettre les identités et dérober des mots de passe ; qu'il s'agisse de phishing, d'ingénierie sociale, de collecte d'identifiants ou d'attaques par ransomware visant à compromettre les comptes d'admin locaux sur les terminaux. Sans compter que des délais importants peuvent s'écouler avant de découvrir qu'un vol de mots de passe a eu lieu.
Les menaces internes constituent un autre axe d'attaque particulièrement problématique. Un salarié déloyal peut en effet utiliser des identifiants existants et valides. Pour y faire face, les entreprises doivent pouvoir s'appuyer sur un large ensemble de données contextualisées, sans lesquelles il leur sera impossible d'identifier les comportements anormaux ou à haut risque.
Lire aussi : { Tribune Expert } - L'IA : notre plus grande alliée ou notre pire ennemie dans la lutte contre les cybermenaces ?
La friction associée aux mécanismes de contrôle d'accès internes
Il n'est pas toujours facile pour les services responsables de la sécurité des identités et les équipes SOC de s'entendre. Les programmes de sécurité des identités gèrent ainsi les politiques de contrôle d'accès et le provisionnement des droits tout en respectant les contraintes d'audit et de conformité, telles que la règle du moindre privilège.
Ces équipes sont également en charge de politiques d'authentification et d'autorisation, parfois façonnées pour répondre à une demande d'ergonomie des développeurs, des administrateurs et des utilisateurs. Cela peut rendre les politiques de contrôle d'accès plus permissives que celles de l'équipe SOC, conçues pour donner la priorité à la réduction des risques.
En parallèle, les équipes SOC peuvent avoir besoin d'utiliser des comptes admin en dehors de leurs responsabilités habituelles pour résoudre d'éventuels incidents de sécurité. En l'absence de plans de réponse aux incidents clairement documentés et de politiques autorisant automatiquement l'accès à des fins de résolution d'incident, les équipes SOC voient également leur action entravée par des allongements de délais.
Des technologies et des processus cloisonnés
Il est important que les capacités d'analyse des outils de gestion des accès à privilèges (PAM), ou de gestion des identités en tant que service (IDaaS), s'intègrent aux outils existants des équipes SOC. Parmi les principaux exemples, citons les technologies de gestion des événements de sécurité (SIEM) et celles de détection et de réponse étendues (XDR). Sans les données complètes fournies par ces intégrations, les équipes SOC n'auront en effet pas une bonne vue d'ensemble et risquent d'identifier des faux positifs.
Pire encore, faute d'une corrélation appropriée des données pour générer des alertes, certains outils de sécurité des identités ne permettront pas aux équipes SOC de distinguer les signaux du bruit statistique. Sans une contextualisation complète, ces équipes peuvent rater certains phénomènes statistiques symptomatiques d'une compromission.
Par exemple, une entreprise effectuant séparément des analyses IDaaS et PAM sera peut-être en mesure de détecter des actions individuelles à faible risque ; comme un administrateur entrant une commande sensible dans une session privilégiée et accédant à une application Web à partir d'un emplacement irrégulier.
La combinaison de ces deux événements « à faible risque » justifierait cependant un examen plus approfondi. Or, les équipes SOC et les responsables de la sécurité des identités risquent de rater ce type de signaux bien réels s'ils ne partagent pas les résultats de leurs analyses.
L'efficacité des outils de détection des menaces dépend aussi de la qualité des données auxquelles ils ont accès. Si les technologies de sécurité des identités et de SOC ne sont pas intégrées pour un partage réciproque des données, les équipes SOC risquent d'être confrontées à un nombre excessif de faux positifs ou, pire, de ne détecter qu'un faible nombre de menaces. La sécurité demande donc un travail d'équipe et la détection et la prévention efficaces des menaces liées à l'identité nécessitent une combinaison de personnes, de processus et de technologies.
Finalement, il est indispensable que les entreprises se dotent d'une technologie de gestion de la sécurité des identités. Les efforts de détection intelligente des menaces liées aux usurpations d'identité nécessitent néanmoins une vision globale des comportements des utilisateurs, sans laquelle les équipes ne seront pas en mesure d'identifier les signaux pertinents.
En outre, les organisations doivent chercher à réduire le risque d'attaques axées sur l'identité en décloisonnant les équipes, en consignant les processus sous forme de plans documentés et en intégrant les technologies requises pour détecter et répondre rapidement à ces types de menaces
Sur le même thème
Voir tous les articles Cybersécurité