Qu’est-ce que la sécurité des identités ?
La sécurité des identités désigne une solution complète de protection de toutes les identités au sein de l’entreprise : identités du personnel et des machines, identités sur site et hybrides ou encore identités ordinaires et à privilèges. Elle vise à détecter et à prévenir les compromissions liées aux identités, en particulier lorsque les cyberadversaires réussissent à contourner les mesures de sécurité des endpoints.
Tout compte, qu’il s’agisse de celui d’un administrateur informatique, d’un employé, d’un télétravailleur, d’un fournisseur tiers ou même d’un client, peut évoluer en un compte à privilèges, ouvrant la porte à des cyberattaques. Les entreprises doivent donc être en mesure d’authentifier chaque identité et d’autoriser chaque demande afin de maintenir la sécurité et de prévenir une multitude de menaces numériques, notamment les attaques de ransomwares et de la supply chain.
Si la sécurité des identités est une composante importante de l’architecture de sécurité d’une entreprise, il est important de garder à l’esprit qu’elle est juste un élément d’une plateforme de sécurité plus large. Pour bénéficier d’une protection optimale, les entreprises doivent élaborer une stratégie de cybersécurité complète, couvrant la sécurité des endpoints, la sécurité informatique, la protection des workloads cloud et la sécurité des conteneurs en plus de la sécurité des identités. Idéalement, la solution de sécurité des identités doit également intégrer les outils et processus existants de gestion des identités et des accès (IAM) de l’entreprise, ainsi qu’une architecture Zero Trust.
Pourquoi les entreprises devraient-elles se préoccuper de la sécurité des identités ?
Une analyse réalisée par l’équipe Falcon OverWatch de CrowdStrike révèle que 8 compromissions sur 10 (80 %) sont liées aux identités. Ces attaques modernes contournent souvent la chaîne de frappe cybercriminelle classique en exploitant directement des identifiants compromis pour effectuer des déplacements latéraux et lancer des attaques plus vastes et aux conséquences plus graves.
Malheureusement, la détection des attaques liées aux identités est particulièrement complexe. Lorsque les identifiants d’un utilisateur valide ont été compromis et qu’un cyberadversaire usurpe l’identité de cet utilisateur, il est souvent bien difficile de différencier son comportement habituel de celui du cyberpirate qui utilise des mesures et des outils de sécurité classiques.
En outre, le passage rapide à des modes de travail à distance, en partie induite par la pandémie de COVID-19, a considérablement augmenté la surface d’attaque de nombreuses entreprises. Cela a accentué la nécessité pour les entreprises de mettre en place une solution robuste et flexible de sécurité des identités qui protège l’entreprise et ses ressources contre les menaces susceptibles d’émerger de l’utilisation par les télétravailleurs de leurs terminaux ou réseaux domestiques.
La sécurité des identités est parfois considérée par les entreprises comme le dernier rempart. Ces solutions sont conçues pour bloquer les cyberadversaires qui ont réussi à contourner les autres mesures de sécurité, comme les outils de détection et d’intervention sur les endpoints.
2022 CrowdStrike Global Threat Report
Téléchargez le Global Threat Report 2022 pour découvrir les tendances observées par nos équipes chez les cyberpirates en matière de techniques, tactiques et procédures.
TéléchargerEn quoi la sécurité des identités diffère-t-elle des technologies IAM ?
La Identity Access Management (IAM) fait partie de la stratégie globale de sécurité informatique de l’entreprise qui cible la gestion des identités numériques ainsi que l’accès des utilisateurs aux données, aux systèmes et aux autres ressources de l’entreprise. Les technologies IAM contribuent souvent à limiter les risques d’accès liés aux identités, mais les règles, programmes et technologies connexes ne sont généralement pas conçus de base en tant que solutions de sécurité.
Par exemple, les technologies IAM qui stockent et gèrent les identités afin d’offrir des fonctionnalités d’authentification unique ou d’authentification multifacteur ne sont pas en mesure de détecter et de prévenir en temps réel les attaques liées aux identités. Les solutions IAM sont également un élément clé de la stratégie globale de protection des identités, mais elles n’offrent qu’une visibilité superficielle sur les endpoints, les terminaux et les ressources, ainsi que sur les identités et le comportement des utilisateurs.
La sécurité des identités ne se substitue pas aux règles, programmes et technologies IAM, mais vise plutôt à les compléter et à les optimiser grâce à des fonctionnalités avancées de détection et de prévention des menaces.
Comment l’hygiène d’AD s’intègre-t-elle dans la sécurité des identités ?
Active Directory (AD) est un service de répertoire développé en 1999 par Microsoft pour les réseaux de domaines Windows. Il est communément considéré comme l’un des maillons les plus faibles de la stratégie de cyberdéfense d’une entreprise. Basé sur une technologie d’ancienne génération vieille de plusieurs décennies, AD compte parmi les référentiels d’identités les plus utilisés et continue de bénéficier de la confiance de plus de 90 % des entreprises Fortune 1000. Cela en fait une cible de choix pour les cyberadversaires, qui l’utilisent pour compromettre le réseau, se déplacer latéralement ou élever les privilèges.
Toute compromission de la sécurité d’AD affecte l’infrastructure des identités tout entière, conduisant à des fuites potentielles de données ainsi qu’à une éventuelle corruption/prise de contrôle du système, voire à des attaques de ransomwares ou de la supply chain de grande ampleur.
Une solution de protection des identités bien conçue doit dès lors intégrer des fonctionnalités de sécurité d’AD afin d’offrir une visibilité complète, continue et unifiée sur l’ensemble des utilisateurs de l’entreprise, ainsi que des fonctionnalités de détection et de prévention en temps réel des attaques malveillantes à l’encontre d’AD.
En quoi la sécurité des identités est-elle liée au Zero Trust ?
Le Zero Trust est un cadre de sécurité qui exige que tous les utilisateurs, qu’ils soient internes ou externes au réseau de l’entreprise, soient authentifiés, autorisés et continuellement validés en ce qui concerne leur configuration et leur niveau de sécurité, avant de se voir accorder ou de conserver l’accès aux données et aux applications. Le Zero Trust part du principe qu’il n’existe pas de périmètre réseau au sens habituel du terme. Les réseaux peuvent être locaux, dans le cloud ou hybrides, avec des ressources et des effectifs parfois très distribués.
Ce cadre est décrit par différentes lignes directrices sectorielles, telles que les cadres eXtended de Forrester et CARTA de Gartner et, plus récemment, la publication NIST 800-207 comme une solution optimale pour relever les défis de sécurité actuels de l’environnement professionnel mondial axé sur le cloud et fortement marqué par le télétravail.
Les entreprises qui désirent implémenter des mesures de sécurité optimales doivent utiliser une solution de sécurité des identités combinée à un cadre de sécurité Zero Trust. Elles doivent également s’assurer que la solution choisie respecte les lignes directrices sectorielles, notamment les principes édictés dans la publication du NIST.
Cas d’utilisation de la sécurité des identités
Une solution complète de sécurité des identités offre à l’entreprise un large éventail d’avantages et de fonctionnalités avancées, notamment :
- Blocage des attaques modernes, telles que les attaques de ransomwares ou de la supply chain
- Réalisation de tests Red Team et d’audits
- Amélioration de la visibilité sur les identifiants au sein d’un environnement hybride (y compris des identités, des utilisateurs à privilèges et des comptes de service)
- Amélioration de la détection et de la protection contre les déplacements latéraux
Élargissement de l’authentification multifacteur aux systèmes d’ancienne génération et non managés - Renforcement de la sécurité des utilisateurs à privilèges (élévation des privilèges et prise de contrôle de comptes, par exemple)
- Protection du référentiel d’identités contre les attaques de protocole (NTLM, par exemple) et de prise de contrôle (attaques « Pass the Hash » et de type Golden Ticket, par exemple)
- Détection des outils servant aux attaques (mimikatz, par exemple)
Développer une solution complète de sécurité des identités avec CrowdStrike
La plateforme CrowdStrike® Falcon offre une visibilité et une sécurité continues et en temps réel couvrant l’ensemble des ressources de l’entreprise. CrowdStrike aide ses clients à élaborer une stratégie de sécurité complète, incluant les principes de la sécurité des identités, afin de créer une solution de cybersécurité intégrant les fonctionnalités suivantes :
Détection et prévention en temps réel : la plateforme Falcon propose des fonctions de détection, de surveillance et de réponse automatiques en continu procurant aux entreprises une vue complète sur leur environnement, depuis la menace individuelle affectant un seul endpoint jusqu’au niveau de risque global de l’entreprise. La fonction EDR intelligente détecte automatiquement les activités malveillantes ou les signes d’attaque et leur attribue un niveau de priorité de façon intelligente.
Visibilité de bout en bout : la plateforme Falcon offre une visibilité et une sécurité continues couvrant une multitude de points sensibles, tels que les différents endpoints physiques, les versions des firmwares, les versions du système d’exploitation, les niveaux de correctif, les vulnérabilités, les applications installées, les connexions d’utilisateurs humains et programmatiques. Elle assure également la sécurité et la détection des incidents et, dans le cas d’incidents liés aux identités et de bien d’autres types de déplacements latéraux, la prévention.
Sécurité robuste d’AD : les fonctionnalités avancées de sécurité d’AD de Falcon offrent d’autres atouts, comme l’analyse des risques basée sur le contexte et l’attribution de scores de menace aux fonctions IAM de base, pour aider les équipes de sécurité à prendre des décisions mieux éclairées en matière d’accès et à appliquer l’accès conditionnel à toutes les demandes. Les principes de l’accès conditionnel ouvrent la porte à de nouveaux types de segmentation basés non seulement sur les limites du réseau, mais aussi sur les règles relatives aux identités, aux comportements et aux risques liés aux identifiants des utilisateurs.
Intégration IAM : les outils de protection des identités Falcon offrent des audits complets des identités et une vue détaillée des comptes, protocoles et services auxquels chaque utilisateur accède. La plateforme Falcon propose plusieurs API pour les fournisseurs MFA/IAM partenaires, une solution SIEM (gestion des événements et des informations de sécurité), des technologies SOAR (orchestration et automatisation de la sécurité et réponse) et bien plus encore, qui vous confèrent une visibilité de bout en bout et un contrôle en temps réel sur l’ensemble des terminaux et des identités.
Conformité Zero Trust du NIST : en tant que seul fournisseur de cybersécurité Zero Trust conforme au NIST, Falcon Zero Trust détecte rapidement tous les utilisateurs et types d’utilisateurs de votre réseau étendu (comptes ordinaires, à privilèges et de service) et fournit des informations continues et des analyses comportementales pour vous aider à identifier et à neutraliser en temps réel les risques et les menaces. Les fonctionnalités adaptatives de la plateforme vous permettent d’automatiser vos réponses avec le type de déploiement ou de notification pertinent selon l’identité, le comportement et le risque.
Plateforme ouverte axée sur les API : la plateforme Falcon propose un ensemble complet d’API Restful/JSON qui permettent aux utilisateurs finaux et à l’écosystème des partenaires CrowdStrike d’intégrer des outils tiers destinés à favoriser l’implémentation en douceur de votre architecture Zero Trust. Ces intégrations tierces incluent par exemple Okta, Zscaler, Netskope, Forescout, Splunk/Phantom et bien d’autres. La solution de sécurité des identités de CrowdStrike peut alimenter directement les solutions SIEM à l’aide des formats JSON, CEF et LEEF, ainsi que de nombreuses solutions SOAR.