Tout savoir sur la gestion du niveau de sécurité des identités (ISPM)

Qu'est-ce que la gestion du niveau de sécurité des identités (ISPM) ?

La gestion du niveau de sécurité des identités (ISPM) est un cadre utilisé pour renforcer et maintenir la posture de sécurité de l'infrastructure des identités d'une entreprise afin de prévenir les compromissions. L'ISPM consiste à surveiller et à analyser les identités, les droits d'accès et les processus d'authentification dans l'ensemble de votre écosystème. Cela vous permet de mieux cerner votre profil de risque en matière d'identité et vous fournit des conseils pour éliminer ce risque. L'ISPM est une approche proactive de la sécurité qui peut aider votre entreprise à prévenir les attaques ciblant l'identité avant même qu'elles ne se produisent.

Quels sont les défis en matière de sécurité auxquels répond l'ISPM ?

La gestion du niveau de sécurité des identités est devenue de plus en plus complexe. L'environnement des identités s'étend aux infrastructures informatiques et aux architectures multicloud. Il comprend plusieurs référentiels  d'identités. Le concept d'identité ne se limite pas aux utilisateurs : il englobe également les machines, les comptes de service, les workloads, et bien plus encore. Sans visibilité de bout en bout sur l'ensemble de l'environnement des identités, il est difficile d'avoir une vision précise de la posture de sécurité d'une entreprise.

Une gestion inadéquate des identités peut offrir aux cyberadversaires des points d'entrée faciles leur permettant d'accéder rapidement et sans difficulté aux ressources critiques de votre entreprise. Selon Gartner, des contrôles de sécurité préventifs s'inscrivant dans un cadre ISPM peuvent aider votre entreprise à éviter les erreurs de configuration, les vulnérabilités et l'exposition aux risques.

Erreurs de configuration

Des erreurs de configuration peuvent exposer les entreprises aux attaques de cyberadversaires et accroître le risque de compromission. Parmi les erreurs de configuration courantes, on peut citer l'octroi de privilèges excessifs aux comptes, une gestion inadéquate du cycle de vie des identités et une mise en œuvre incorrecte de l'authentification multifacteur (MFA).

• Dans son Global Threat Report 2023, CrowdStrike indique que huit intrusions sur dix utilisent des identités compromises ou des identifiants volés.

Pour éviter les erreurs de configuration, assurez-vous que tous les comptes sont correctement configurés. Évitez les paramètres par défaut, mettez en place des contrôles de gestion des identités et des accès (IAM), et surveillez en permanence les configurations afin de détecter tout changement suspect.

Vulnérabilités

90 % des entreprises s'appuient sur Active Directory, une technologie obsolète intrinsèquement vulnérable aux attaques. Les vulnérabilités courantes des référentiels d'identités sont exploitées par des attaques de type Pass the Hash (PTH) pour se déplacer latéralement, tandis que d'autres attaques visent à infiltrer l'infrastructure d'identité d'une entreprise.

• 50 % des entreprises ont été victimes d'une attaque d'Active Directory au cours des deux dernières années.
• En 2023, nous avons constaté une hausse de 583 % par rapport à l'année précédente du nombre d'attaques de type Kerberoasting.

Traitez les vulnérabilités liées à l'identité en prenant des mesures proactives pour améliorer la gestion des identités, notamment en ce qui concerne les contrôles d'accès conditionnel. Vous pouvez également envisager de renforcer votre sécurité à l'aide d'une solution de gestion des identités compatible avec le cadre ISPM.

Exposition aux risques

Réduisez la surface d'attaque globale liée à l'identité en supprimant les droits d'accès inutiles ou excessifs. Cela implique notamment de réduire le risque lié aux comptes susceptibles d'être piratés, tels que les comptes inactifs dont les mots de passe ne sont plus à jour. En outre, envisagez de mettre en œuvre le principe du moindre privilège afin de limiter les droits d'accès des utilisateurs, des comptes et des processus aux seules ressources nécessaires à l'exécution de fonctions légitimes.

5 éléments indispensables à la mise en œuvre de l'ISPM

Voici les cinq éléments indispensables à prendre en compte lors de la mise en œuvre des ISPM :

1. Visibilité complète des identités

Le paysage des identités est complexe et s'étend aux environnements cloud, sur site et hybrides. Il est essentiel de disposer d'une visibilité complète sur l'identité de tous les utilisateurs, comptes (humains ou de service), droits d'accès et configurations, quel que soit leur emplacement.

2. Évaluation des risques

Les entreprises peuvent procéder régulièrement à des évaluations des risques afin d'identifier les vulnérabilités potentielles de leurs systèmes de gestion des identités et de prendre des mesures pour atténuer ces risques. Les évaluations des risques consistent notamment à détecter les failles en matière de sécurité des identités, à identifier les identifiants compromis et les comptes affectés, à analyser les voies d'attaque potentielles que les cyberadversaires pourraient exploiter, et bien plus encore.

3. Surveillance continue

Une fois qu'une entreprise a une meilleure compréhension de son niveau de sécurité en matière d'identité, elle peut établir une base de référence pour l'activité normale des utilisateurs et des appareils. Les entreprises peuvent alors surveiller en permanence et analyser les utilisateurs et les appareils afin de détecter toute activité anormale et tout comportement suspect, et ainsi identifier les cybermenaces potentielles pour la sécurité.

4. Authentification multifacteur

L'ISPM encourage l'utilisation du MFA afin de renforcer la sécurité du processus d'authentification. Le MFA exige des utilisateurs qu'ils fournissent plusieurs moyens de vérification, tels qu'un élément qu'ils connaissent (mot de passe) et un objet qu'ils possèdent (appareil mobile). Le MFA permet un accès conditionnel aux ressources critiques d'une entreprise.

5. Gestion des droits sur l'infrastructure cloud (CIEM)

La sécurité des identités ne se limite pas aux contrôles et aux droits d'accès dont disposent les utilisateurs au sein de l'entreprise. Les entreprises ont besoin d'une couche de sécurité supplémentaire qui tienne compte des environnements basés sur le cloud. CIEM aide les entreprises à gérer les droits d'accès sur l'ensemble de leurs ressources d'infrastructure cloud. Cela permet de réduire le risque lié à l'octroi involontaire et incontrôlé de droits d'accès excessifs aux ressources cloud.

Sécurité globale des identités

Aujourd'hui, la sécurité des identités s'étend aux ressources et aux applications, aux personnes et aux machines, aux environnements cloud et sur site, et bien plus encore. Cette complexité fait des identités une cible particulièrement attractive pour les cyberadversaires. Une attaque réussie peut faciliter l'accès des cyberadversaires aux ressources les plus importantes de l'entreprise.

Les entreprises devraient envisager une approche globale pour se protéger contre les attaques ciblant l'identité. Les couches essentielles de la sécurité des identités incluent l'ISPM, le CIEM et la Identity Threat Detection et réponse (ITDR). Gartner définit l'ITDR comme « l'ensemble des outils et des bonnes pratiques visant à protéger les systèmes d'identité. Les outils ITDR permettent de protéger les systèmes d'identité, de détecter leur compromission et de mettre en œuvre des mesures correctives efficaces. »

La mise en place de plusieurs couches de sécurité des identités renforce la capacité d'une entreprise à se protéger contre les compromissions. De plus, une solution unifiée de sécurité des identités aide les entreprises à générer une valeur ajoutée, notamment grâce à une réduction des coûts, à une amélioration de l'efficacité opérationnelle, à une réponse plus rapide aux cybermenaces, et bien plus encore.

L'approche de CrowdStrike

La plateforme CrowdStrike Falcon® est une solution entièrement intégrée qui prend en charge les cadres de sécurité ISPM, CIEM et ITDR à partir d'une interface unique. CrowdStrike assure une protection complète contre les attaques ciblant l'identité, en temps réel. Grâce à un seul agent, la plateforme Falcon collecte et analyse toutes vos données sur les identités et les configurations et vous offre une visibilité instantanée sur l'ensemble de vos identités.

La plateforme Falcon prend en charge un cadre ISPM en :

• Unifiant la visibilité et l'application du principe du moindre privilège dans votre écosystème d'identité
• Mettant en évidence les risques potentiels et en fournissant des informations clés sur les vecteurs d'attaque liés à l'identité que les cyberadversaires pourraient exploiter au sein de votre infrastructure d'identité
• Éliminant les failles de sécurité grâce à une visibilité immédiate sur l'état de santé de votre référentiel d'identités (y compris Active Directory) et sur les identifiants potentiellement compromis
• Simplifiant la gestion des autorisations dans un environnement multicloud, puis en détectant et en prévenant en permanence les cybermenaces liées à l'identité
• Détectant et en corrigeant des indicateurs d'attaque liés à l'identité (IOA) et des indicateurs de mauvaise configuration (IOM)
• Accélérant la réponse aux cybermenaces en corrigeant les vulnérabilités au niveau des identités, des endpoints et du cloud à partir d'une plateforme unique
• Respectant les exigences de conformité et en garantissant la sécurité des identités