Qu'est-ce que la segmentation basée sur l'identité ?
Les identités (par ex., des comptes d'utilisateurs humains, de services et à privilèges) constituent l'un des piliers du cadre de sécurité Zero Trust. Comme plus de 80 % des attaques exploitent les identifiants des utilisateurs, le périmètre doit se rapprocher de l'utilisateur — la « dernière ligne de défense ».
La segmentation basée sur l'identité est une méthode destinée à limiter l'accès aux applications et aux ressources en fonction des identités.
Le guide complet sur l'élaboration d'une stratégie de protection des identités
Envie de renforcer la résilience de votre approche en matière de sécurité des identités ? Faites le premier pas et téléchargez le Guide complet sur l'élaboration d'une stratégie de protection des identités pour protéger dès maintenant le paysage des identités numériques de votre entreprise.
Télécharger maintenantSegmentation selon l'identité et segmentation basée sur l'identité
Il est important de souligner que la définition de la « segmentation selon l'identité » de CrowdStrike diffère de la « segmentation basée sur l'identité » de Gartner. La première applique des règles basées sur les risques pour limiter l'accès aux ressources en fonction de l'identité des collaborateurs.
En revanche, la segmentation basée sur l'identité de Gartner est essentiellement une technique de micro-segmentation qui applique des règles en fonction de l'« identité de l'application / du workload », par exemple des balises et des étiquettes, lesquelles doivent parfois être définies lors de l'étape de configuration. Elles n'ont rien à voir avec les identités des collaborateurs.
Segmentation basée sur l'identité et segmentation du réseau
Le tableau ci-dessous présente les différences entre la segmentation du réseau et la segmentation basée sur l'identité en termes de fonctionnalités :
| Fonction | Segmentation du réseau | Segmentation selon l'identité |
|---|---|---|
| Visibilité et contrôle de sécurité | Couvre les connexions et les zones du réseau. | Couvre l'identité des utilisateurs, la visibilité du chemin d'attaque, l'empreinte d'authentification, le comportement et les risques. |
| Règles | Les règles sont appliquées aux identités des workloads, aux ports et aux adresses IP qui se connectent aux ressources/workloads. | Les règles sont appliquées aux identités en fonction du comportement, des risques et de plus de 100 critères d'analyse. |
| Protection des systèmes d'ancienne génération | La protection des systèmes d'ancienne génération peut être problématique (par ex., dans le cas d'une attaque de ransomware qui entame un déplacement latéral à l'aide d'identifiants compromis). | Les ressources et les applications propriétaires plus anciennes sont protégées en étendant le contrôle des identités basé sur les risques (authentification multifacteur) à ces dernières. |
| Opérationnalisation | Elle est limitée par la dimension du réseau et le type d'application, surtout dans le cas des applications SaaS et des clouds privés.La création des zones et l'application des règles peuvent encore compliquer la tâche. | Les applications SaaS et déployées sur site sont protégées, quel que soit leur emplacement. |
| Intégrations | L'intégration de la cyberveille, des comportements et d'autres mécanismes de protection est nécessaire pour appliquer les contrôles d'accès. | Les solutions intégrées de cyberveille et de prévention et de détection des cybermenaces en temps réel sont optimisées par l'architecture de sécurité cloud de CrowdStrike pour toutes les identités des collaborateurs classifiées automatiquement, que ce soit dans un référentiel Active Directory (AD) sur site ou dans le cloud (Azure AD).Les API s'intègrent avec des outils d'authentification unique (SSO) et des solutions de fédération comme Okta, AD FS et PingFederate, ainsi que d'autres outils de sécurité tels qu'UEBA, SIEM, SOAR et bien d'autres. |
L'approche de CrowdStrike en matière de sécurité des identités
La segmentation basée sur l'identité offerte par CrowdStrike Falcon® Next-Gen Identity Security rapproche le périmètre de la « dernière ligne de défense » grâce aux fonctionnalités suivantes :
- Visibilité granulaire sur plusieurs annuaires et génération en continu d'informations pertinentes sur chaque compte
- Classification automatique de chaque compte : comptes d'utilisateurs humains, de services et à privilèges, comptes dont les mots de passe ont été compromis, comptes utilisateur inactifs, etc.
- Identification des failles de sécurité en fonction des scores de risques individuels établis à l'aide de plus de 100 critères d'analyse comportementale
- Visibilité sur le chemin d'attaque pour détecter les cybermenaces aux différents stades de la chaîne de frappe, y compris la reconnaissance, le déplacement latéral et la persistance
- Application de règles de segmentation pour limiter l'accès aux ressources en fonction de l'identité
Narendran est directeur du marketing produit pour la protection des identités et le modèle Zero Trust chez CrowdStrike. Il possède plus de 17 ans d'expérience dans le domaine du marketing produit et des stratégies de mise sur le marché, travaillant à la fois pour des start-ups spécialisées dans la cybersécurité et de grandes entreprises comme HP et SolarWinds. Avant cela, il était directeur du marketing produit chez Preempt Security, une société rachetée par CrowdStrike. Narendran est titulaire d'une maîtrise en sciences informatiques de l'université de Kiel, en Allemagne.
