Les solutions de détection et de réponse aux menaces liées à l’identité (ITDR) sont des outils de cybersécurité proactifs qui surveillent les systèmes afin de découvrir les menaces et les vulnérabilités liées à l’identité, telles que l’élévation des privilèges et les mauvaises configurations de comptes, et d’y remédier.
Les identités des utilisateurs représentent aujourd’hui une part importante de la surface d’attaque des entreprises, les cybercriminels préférant de plus en plus se connecter plutôt que de pirater les comptes. L’IBM® X-Force Threat Intelligence Index indique que les attaques basées sur l’identité représentent 30 % du total des intrusions. Les acteurs de la menace exploitent des attaques de phishing et des logiciels malveillants de vol d’informations pour collecter des identifiants, qu’ils utilisent ensuite pour prendre le contrôle de comptes opérationnels.
Les systèmes ITDR peuvent contribuer à atténuer ces cyberattaques basées sur l’identité en surveillant l’activité des utilisateurs et les systèmes d’identité sur le réseau de l’entreprise. Les outils ITDR peuvent détecter les attaques par force brute, le bourrage d’identifiants, les anomalies de connexion et d’autres cybermenaces, et peuvent réagir automatiquement pour empêcher les attaquants d’accéder aux données et aux systèmes sensibles.
Rejoignez les responsables de la sécurité qui font confiance à la Newsletter Think pour obtenir des informations ciblées autour de l’IA, de la cybersécurité, des données et de l’automatisation. Apprenez rapidement grâce à des tutoriels et des fiches explicatives d’experts, envoyés directement dans votre boîte de réception. Consultez la Déclaration de confidentialité d’IBM.
Un système ITDR surveille en permanence le réseau d’une entreprise pour détecter toute activité anormale ou suspecte liée aux identités des utilisateurs. Lorsqu’une solution détecte un comportement potentiellement malveillant, elle alerte l’équipe de sécurité et déclenche une réponse automatisée, par exemple en bloquant immédiatement l’accès d’un compte à des données sensibles.
Un système ITDR allie diverses fonctions au sein d’une solution complète. En voici les principales :
Pour identifier une activité suspecte, un système ITDR doit d’abord savoir à quoi ressemble une activité normale et autorisée.
Les ITDR recueillent des informations à partir de sources telles que :
L’ITDR s’appuie sur l’analyse comportementale et le mappage relationnel pour traiter toutes ces données et créer un modèle de référence du comportement normal des utilisateurs, de leurs comptes et des systèmes auxquels ils accèdent.
Un système ITDR surveille l’activité et l’infrastructure des identités sur l’ensemble du réseau afin de détecter les menaces, les expositions et les vulnérabilités. Les ITDR suivent les connexions, les authentifications, les fournisseurs d’identité (IdP), les demandes d’accès et les annuaires tels qu’Active Directory, et les comparent au modèle de référence. Les outils ITDR signalent les écarts significatifs par rapport au modèle de référence comme des menaces potentielles.
Les écarts peuvent inclure des activités telles que des tentatives de connexion à partir d’emplacements inhabituels, le mouvement latéral d’un utilisateur entre jeux de données sans lien ou des demandes inhabituelles d’élévation des privilèges.
Certains systèmes ITDR ont recours au machine learning (ML) pour analyser les modèles de menaces historiques (à partir des dossiers de l’entreprise, des flux de renseignements sur les menaces et d’autres sources) et identifier les différents types d’attaques. Ils peuvent ainsi plus facilement détecter de nouveaux risques d’identité auxquels il n’ont pas été confrontés directement auparavant.
Lorsqu’un système ITDR détecte une intrusion potentielle, il signale l’activité au centre des opérations de sécurité (SOC) et déclenche une réponse immédiate à l’anomalie. Les capacités de réponse peuvent inclure l’isolement du système attaqué, la désactivation des comptes compromis ou la demande d’une authentification supplémentaire de l’utilisateur, entre autres moyens d’arrêter les activités non autorisées ou suspectes.
Les attaques basées sur l’identité sont des cyberattaques qui tirent parti de l’identité des utilisateurs pour obtenir un accès non autorisé à un réseau. Les attaques basées sur l’identité consistent souvent à prendre le contrôle d’un compte légitime et à abuser de ses privilèges pour voler des données, installer un ransomware ou causer d’autres dommages.
Voici quelques exemples d’attaques basées sur l’identité :
Lors d’une attaque par force brute, les pirates essaient d’accéder à un compte par essais successifs, en essayant plusieurs identifiants de connexion jusqu’à ce qu’ils trouvent celui qui fonctionne.
L’élévation des privilèges est une technique de cyberattaque dans laquelle un acteur de la menace modifie ou élève ses autorisations dans un système, par exemple en passant d’un compte utilisateur avec des privilèges limités à un compte administrateur de niveau supérieur.
Le mouvement latéral est une tactique que les cybercriminels utilisent pour pénétrer plus profondément dans le réseau d’une organisation après avoir obtenu un accès non autorisé. D’une manière générale, les attaques par mouvement latéral comportent deux parties : une brèche initiale suivie d’un mouvement interne.
Le phishing est un type d’ingénierie sociale qui utilise des e-mails, SMS, appels téléphoniques ou sites frauduleux pour inciter les gens à partager des données sensibles ou à télécharger des logiciels malveillants.
Les pirates peuvent employer le phishing pour prendre le contrôle de comptes d’utilisateurs de différentes manières. Ils peuvent inciter un utilisateur à divulguer ses identifiants en se faisant passer pour une marque de confiance et en le dirigeant vers un faux site. Ils peuvent également se servir de messages de phishing pour diffuser un logiciel malveillant qui enregistre secrètement le mot de passe de l’utilisateur.
Les risques et les menaces liés à l’identité ne proviennent pas toujours d’acteurs malveillants. Les mauvaises configurations, les simples oublis, les erreurs humaines et les utilisateurs autorisés qui abusent de leurs autorisations peuvent tous compromettre la sécurité de l’identité. Ces risques incluent :
Alors que les attaques basées sur l’identité se multiplient et que les systèmes d’identité deviennent plus complexes, les outils ITDR peuvent aider les entreprises à améliorer leur posture de sécurité et à mieux contrôler l’infrastructure d’identité.
Pour de nombreuses organisations, les solutions SaaS (logiciel en tant que service), les architectures en multicloud hybride et le télétravail sont monnaie courante. Leurs réseaux sont multifournisseurs : un mélange d’applications et d’actifs cloud et sur site, au service de divers utilisateurs dans différentes régions. Ces applications ont souvent leurs propres systèmes d’identité, qui ne s’intègrent pas nécessairement facilement les uns aux autres.
Par conséquent, de nombreuses entreprises sont confrontées à des environnements d’identité fragmentés, avec des failles que les acteurs de la menace peuvent exploiter à des fins malveillantes.
En surveillant les identités plutôt que les appareils ou les actifs, les ITDR peuvent offrir une meilleure visibilité sur l’activité des utilisateurs dans les environnements cloud, les outils SaaS et les systèmes sur site. Alors que les applications et actifs peuvent avoir des systèmes d’identité différents, l’ITDR permet aux entreprises de les surveiller au sein d’une seule et même plateforme.
Les ITDR peuvent non seulement détecter les attaques actives, mais aussi les erreurs de configuration et les vulnérabilités potentiellement dangereuses. Ainsi, certains outils ITDR peuvent détecter des mécanismes d’authentification faibles, des comptes inactifs et même l’utilisation de certains actifs de shadow IT.
En surveillant en permanence l’infrastructure d’identité, les outils ITDR peuvent détecter les cyberattaques avant que les pirates n’aient eu l’occasion de faire de réels dégâts.
En plus de signaler ces attaques aux équipes de sécurité, les outils ITDR peuvent également réagir automatiquement en temps réel, en empêchant les pirates et les initiés malveillants de continuer. L’ITDR permet donc d’atténuer plus rapidement les menaces et de remédier aux vulnérabilités avant qu’elles ne puissent être exploitées.
Les entreprises sont confrontées à une véritable mosaïque de technologies de détection et de réponse aux menaces qui se chevauchent. Bien que ces outils aient des fonctionnalités similaires, ils offrent des protections différentes dédiées aux diverses facettes d’un réseau d’entreprise. Ils sont souvent employés en complément les uns des autres dans le cadre d’une stratégie de cybersécurité de défense en profondeur à plusieurs niveaux.
Les outils de gestion des identités et des accès (IAM) gèrent le cycle de vie de l’identité de l’utilisateur, de la création du compte à sa suppression. Alors que l’ITDR vise à détecter et à contrecarrer les activités malveillantes des utilisateurs non autorisés, l’IAM s’attache à garantir que les utilisateurs autorisés disposent des bons droits et les utilisent de façon adaptée.
Les principales fonctions de l’IAM comprennent la création d’identités d’utilisateurs, l’attribution de privilèges, l’application de politiques d’accès et le retrait d’anciennes identités. Les systèmes IAM et ITDR agissent souvent ensemble. L’IAM facilite l’accès des utilisateurs autorisés, tandis que les outils d’ITDR surveillent leur activité pour détecter les menaces telles que la compromission des comptes ou l’utilisation abusive des autorisations.
Les systèmes de gestion des accès privilégiés (PAM) régissent et sécurisent les comptes et les activités des utilisateurs privilégiés, tels que les administrateurs système. Alors que les outils ITDR surveillent toutes les identités, les outils PAM couvrent les identités privilégiées.
Les outils PAM fournissent des comptes privilégiés, gèrent quand et comment les utilisateurs obtiennent des privilèges élevés, et surveillent l’activité privilégiée pour détecter les comportements suspects et la non-conformité.
La PAM a précédé l’ITDR en tant que pratique de cybersécurité formellement définie, et les outils PAM sont généralement considérés comme une catégorie distincte. Toutefois, à certains égards, la PAM peut être considérée comme une version ciblée de l’ITDR. L’ITDR surveille les menaces liées à l’identité de tous les utilisateurs, tandis que la PAM protège spécifiquement les comptes privilégiés. Les deux peuvent agir ensemble pour fournir des contrôles de sécurité avancés à un réseau.
La principale différence entre la détection et réponse des terminaux (EDR) et l’ITDR est que les outils EDR protègent les appareils, tandis que les outils ITDR protègent les identités.
Les outils EDR surveillent les terminaux tels que les serveurs et les PC afin de détecter les activités malveillantes qui s’y déroulent. L’ITDR se concentre sur les menaces basées sur l’identité, en détectant les activités malveillantes au niveau des utilisateurs et des comptes.
Les systèmes ITDR et EDR sont des aspects complémentaires des opérations de sécurité d’une entreprise. Ainsi, lorsque l’EDR repère une activité suspecte sur un terminal, un système ITDR peut aider à relier cette activité à une identité spécifique.
Alors que l’ITDR se focalise davantage sur les identités des utilisateurs, les solutions de détection et de réponse étendues (XDR) intègrent les outils et les opérations de sécurité à travers toutes les couches de sécurité : utilisateurs, terminaux, applications, réseaux, workloads cloud et données.
Les outils XDR permettent l’interopération de solutions de sécurité qui ne sont pas nécessairement conçues pour fonctionner ensemble, pour une prévention, une détection et une réponse fluides aux menaces. Parallèlement à d’autres outils, les solutions ITDR s’intègrent aux XDR, alimentant les données sur les identités et les systèmes basés sur les identités dans une architecture de sécurité unifiée.
Ensemble, les ITDR et les XDR peuvent donner aux entreprises une vue plus complète de leurs réseaux, favorisant des mesures de sécurité et des modèles de gouvernance des identités plus efficaces.