Tout savoir sur la surveillance des identités

Introduction à la surveillance des identités

La multiplication des services cloud et des environnements informatiques hybrides a élargi la surface d'attaque en matière d'identité, augmentant ainsi le risque de vol d'identifiants, d'abus de privilèges et de mouvements latéraux de la part des cyberadversaires.

Les utilisateurs se retrouvent avec plusieurs identités numériques, en général une adresse e-mail professionnelle avec authentification unique (SSO), chacune associée à des rôles, des niveaux d'accès et des identités différents, auxquels l'utilisateur peut accéder à l'aide d'un ensemble disparate d'identifiants.

Dans un système, chaque identité augmente la surface d'attaque d'une entreprise, car il s'agit d'un vecteur par lequel les cyberattaquants peuvent compromettre les systèmes en divulguant des données sensibles ou en installant des ransomwares. Pour prévenir les attaques basées sur l'identité, les entreprises doivent mettre en place une surveillance continue des identités afin de détecter les schémas d'accès suspects et d'appliquer des contrôles de sécurité en temps réel.

Cet article examine la surveillance des identités, ses principaux éléments, ses avantages et ses défis, ainsi que les mesures que les entreprises peuvent prendre pour protéger leurs identités numériques.

Qu'est-ce que la surveillance des identités ?

La surveillance des identités consiste à analyser en continu les activités d'authentification, les schémas d'accès et les modifications de privilèges afin de détecter les cybermenaces liées aux identités et d'empêcher tout accès non autorisé.

Lorsque des cyberattaquants parviennent à s'emparer des identifiants d'un utilisateur, ils procèdent souvent à une élévation des privilèges, se déplacent latéralement au sein du réseau ou exploitent des erreurs de configuration dans le cloud pour obtenir un accès persistant. La surveillance des identités détecte ces écarts en temps réel afin de neutraliser les cybermenaces avant qu'elles ne se propagent. La surveillance de l'identité établit un profil de référence de l'activité normale des utilisateurs afin d'identifier ces indicateurs d'attaque et peut déclencher des réponses automatiques en cas d'écart par rapport à cette référence. 

La surveillance active de l'identité joue un rôle central dans la protection contre l'usurpation d'identité, car elle :

• Réduit les risques liés aux comptes en permettant de détecter immédiatement les usurpations d'identité ou les accès non autorisés, plutôt que dans le cadre d'une analyse a posteriori effectuée plusieurs jours ou semaines plus tard. 
• Protège les informations sensibles et les systèmes critiques en limitant les dégâts qu'un cyberattaquant peut causer à l'aide d'un compte compromis.

Fonctions principales

Les solutions efficaces de surveillance des identités aident les entreprises à définir le comportement normal des utilisateurs, à détecter les activités suspectes et à faire face à des cybermenaces telles que la compromission des comptes. Examinons chacune des trois fonctions essentielles de la surveillance des identités afin de comprendre comment elles s'appliquent dans la pratique. 

1. Définition d'une référence pour un comportement normal (se faire une idée de la situation) 

Les solutions de surveillance de l'identité établissent un profil type du comportement des utilisateurs. Ce modèle, également appelé « impulsion », sert de référence pour détecter les écarts susceptibles d'indiquer une menace. Une solution de surveillance des identités analyse les schémas d'authentification, les lieux d'accès, les niveaux de fiabilité des appareils et l'utilisation des privilèges afin d'établir un profil comportemental de référence et d'attribuer des scores de risque aux écarts par rapport à l'activité normale.

2. Surveillance des autorisations d'accès et des modifications apportées aux privilèges

Outre la création d'une base de référence, la surveillance des identités permet de suivre toute modification apportée à l'état actuel telle que l'élargissement des autorisations d'accès ou la modification de l'attribution des privilèges. Cela est utile même dans les cas où aucune attaque active liée au compte n'a lieu. Par exemple, il est important de noter qu'un utilisateur augmente le privilège sur une identité pour accéder à des informations sensibles de carte de crédit dans un système conforme à la PCI, même si un employé l'a fait de manière légitime.

3. Identification des signes d'utilisation frauduleuse des identifiants ou de piratage de compte

La dernière fonction essentielle de la surveillance des identités consiste à détecter les signes d'utilisation abusive des identifiants ou de compromission des comptes. Cela comprend des horaires de connexion inhabituels pour l'utilisateur ou le fait qu'un utilisateur modifie ses privilèges d'une manière inédite, ce qui peut être le signe d'une attaque par élévation des privilèges.

Les quatre composantes de la surveillance des identités

Si les entreprises peuvent mettre en place différents outils de surveillance des identités, une solution efficace doit intégrer les fonctionnalités clés suivantes. 

1. Détection en temps réel

Les capacités de détection en temps réel déclenchent des alertes dès qu'un comportement suspect est détecté. La surveillance est continue. Il peut s'agir par exemple du suivi d'un flux d'audit provenant d'un fournisseur d'identités. Cela permet de prendre des mesures en temps réel, telles que le blocage des sessions suspectes, la révocation des identifiants compromis et l'application d'une authentification adaptative pour les utilisateurs à haut risque.

2. Analyse comportementale 

L'analyse comportementale identifie les habitudes de base de chaque utilisateur et suit toute une série de comportements, notamment l'heure à laquelle l'utilisateur se connecte, la durée de sa connexion au système et le niveau d'accès utilisé. Ces données de référence peuvent ensuite servir à repérer les valeurs aberrantes. Les outils de surveillance des identités utilisent ces modèles pour détecter les anomalies, lorsque l'identité se comporte d'une manière qui ne correspond pas au profil de référence, et déclenchent une alerte ou bloquent le comportement anormal.

3. Contrôle d'accès et gestion des privilèges

La surveillance des identités s'appuie sur le principe du moindre privilège en détectant les élévations de privilèges non autorisées, en réduisant la surface d'attaque et en veillant à ce que les utilisateurs ne disposent que des accès nécessaires. Elle garantit également que les droits d'accès sont régulièrement revus et ajustés. Grâce à la surveillance des identités, les services informatiques renforcent leur capacité à visualiser et à gérer les contrôles relatifs aux identités des utilisateurs à l'échelle de l'entreprise. De plus, les outils de surveillance des identités peuvent appliquer des règles strictes pour les comptes à privilèges/de niveau root afin de réduire le risque de compromission des comptes à privilèges pouvant entraîner un incident aux conséquences graves. 

4. Intégration transparente de la gestion des identités et des accès (IAM)

Un bon outil de surveillance des identités doit s'intégrer de manière transparente à un système de gestion des identités et des accès (IAM). Cela permet aux équipes de sécurité de coordonner leurs actions lorsqu'elles bloquent des comptes ou signalent des comportements à haut risque. Les systèmes IAM sont essentiels pour gérer l'accès aux systèmes informatiques. Une mauvaise configuration des autorisations IAM représente une cybermenace sérieuse pour les informations confidentielles. 

Avantages commerciaux de la surveillance des identités

La surveillance des identités est un aspect essentiel de la sécurité des entreprises modernes. Elle vient directement en complément d'autres objectifs clés en matière de sécurité et permet d'atténuer de nombreux risques concrets. Cela apporte des avantages spécifiques.

Renforcement de la sécurité 

Les attaques ciblant l'identité sont devenues si courantes qu'elles font craindre la faillite aux entreprises. La détection en temps réel bloque les cyberadversaires avant qu'ils ne parviennent à s'implanter durablement, empêchant ainsi l'abus de privilèges, les mouvements latéraux et l'exfiltration de données. En verrouillant les identités qui présentent un comportement anormal ou qui étendent leurs privilèges de manière inhabituelle, les entreprises sont mieux à même de résister à ce type d'attaque. 

Conformité et préparation aux audits

Le RGPD, la loi HIPAA et la norme SOC 2 prévoient tous des procédures et des normes relatives à la protection des données. L'utilisation d'un système de surveillance des identités permet de démontrer aux auditeurs et aux clients le respect des réglementations visant à protéger les données des utilisateurs et de l'entreprise contre les attaques ciblant les identités. Les solutions de surveillance des identités automatisent la production de rapports de conformité en suivant les logs d'activité des identités, les modifications apportées au contrôle d'accès et l'application des règles de sécurité, ce qui facilite les audits dans le cadre de référentiels tels que le RGPD, la loi HIPAA et la norme SOC 2.

Simplification des opérations informatiques et de sécurité 

Les outils qui fonctionnent en temps réel permettent de mieux identifier les actions effectuées par chaque identité, ce qui rend la gestion des incidents plus rapide et plus efficace. La surveillance des identités permet également d'alléger les workloads des équipes de sécurité. En l'absence de solution de surveillance des identités, les équipes de sécurité sont contraintes d'examiner manuellement les logs d'audit et de réagir à posteriori aux incidents de sécurité.

Défis et limites

Si la surveillance des identités est utile, elle ne constitue pas pour autant une solution miracle en matière de sécurité. Dans cette section, nous examinerons les difficultés et les limites courantes susceptibles de réduire l'efficacité de la surveillance des identités. 

Faux positifs et faux négatifs

Les entreprises doivent faire preuve de prudence dans le choix de leurs outils, compte tenu des défis que pose la surveillance des identités. Un nombre élevé de faux positifs et de faux négatifs peut réduire à la confiance accordée à l'outil. Les entreprises doivent trouver le juste équilibre entre la sensibilité et la précision des alertes. Les analyses basées sur l'IA affinent en permanence les modèles de détection des risques, ce qui permet de réduire les faux positifs tout en améliorant la détection des cybermenaces émergentes liées aux identités.

Problèmes d'évolutivité

À mesure que l'infrastructure informatique d'une entreprise se développe, le nombre d'identités à surveiller sur les différents systèmes (multicloud, sur site, etc.) augmente également. Une solution de surveillance des identités doit être capable de traiter de grands volumes de données dans des environnements complexes, afin que l'outil s'adapte aux besoins de l'entreprise. Ainsi, les entreprises ne sont pas contraintes de changer d'outil et de se former à de nouveaux outils à mesure qu'elles se développent.

Complexité de l'intégration

Les outils de surveillance des identités posent également des problèmes d'intégration. Les solutions modernes de sécurité des identités s'intègrent de manière native aux plateformes IAM, EDR et SIEM, garantissant ainsi une visibilité totale sur les environnements hybrides et multicloud. Sinon, elles resteront un silo de données qui, au final, ne sera ni exploitable par les équipes de sécurité, ni utile à l'entreprise.

Pour y remédier, les entreprises ont besoin d'un outil capable de gérer la complexité de l'intégration et de prendre en charge tous les différents types d'identités utilisés par leur entreprise.

Protection de vos identités numériques avec CrowdStrike

Les attaques ciblant l'identité ne cessent d'augmenter, les cyberadversaires utilisant des identifiants volés et des techniques de contournement du MFA pour infiltrer les entreprises. La surveillance proactive des identités permet de détecter et de prévenir ces cybermenaces avant qu'elles ne s'aggravent. Les solutions de surveillance des identités protègent les systèmes en analysant le comportement des utilisateurs en temps réel, tout en s'intégrant aux systèmes IAM et aux contrôles d'accès afin d'identifier les attaques et d'atténuer les cybermenaces. 

Pour protéger vos identités numériques à grande échelle, CrowdStrike Falcon® Next-Gen Identity Security offre une détection en temps réel des cybermenaces liées aux identités, une atténuation proactive des risques et des capacités de réponse automatisées afin de neutraliser les cyberadversaires avant qu'ils ne puissent exploiter les identifiants compromis. Cette solution offre une visibilité améliorée sur l'ensemble des systèmes informatiques afin de détecter les anomalies liées aux identités et aux niveaux de privilèges, tout en sécurisant les identifiants utilisés par les identités numériques. CrowdStrike Falcon® Next-Gen Identity Security s'intègre également de manière transparente à votre infrastructure de sécurité existante, ce qui vous permet d'être opérationnel avec un minimum de perturbations, tout en renforçant vos défenses et votre posture de sécurité.