JPO en ligne ce mercredi

S’inscrire

Boite à outils

Comment la solution ITDR renforce la sécurité des identités ?

L’entreprise moderne doit gérer différents types d’identités : réseau, cloud, machines, humaines, etc. Elle est indispensable pour accéder aux passerelles web sécurisées, cloud public, applications SaaS. Cela pose un réel défi aux équipes de sécurité. La solution ITDR (Identity Threat Detection and Response) offre une meilleure visibilité des accès et assure la détection des menaces liées à l’identité.

 

Par Justine Navet
Contenu mis à jour le
Comment la solution ITDR renforce la sécurité des identités ?
NB : Contenu en cours de réécriture.

Qu’est-ce que l’ITDR ou système complet de détection et de réponse aux menaces d’identité ?

Une opération de cyberattaque est souvent associée à des méthodes sophistiquées et complexes. Pourtant, les menaces les plus destructrices proviennent d’une faille humaine entraînant une compromission des identifiants. Selon une étude de la CISA ( cybersecurity and infrastructure security agency), plus de 50% des attaques ciblant les pouvoirs publics exploitent des identifiants valides. De plus, 86% des violations de sécurité des actifs numériques de l’entreprise (services de messagerie électronique, sites e-commerce, etc.) proviennent d’un accès dérobé. La gestion de l’identité devient donc un enjeu majeur pour les organisations. Dans ce contexte, l’ITDR (Identity Threat Detection and Response) est désigné par Gartner comme la solution de sécurité tendance en 2022 en matière de gestion des risques.

Comme son nom l’indique, l’ITDR est une solution qui assure le processus d’identification des menaces liées aux identités et de réponse. Elle a été initiée par le cabinet Gartner en 2022 face à la hausse des attaques exploitant la vulnérabilité des infrastructures IAM (gestion des identités et des accès).

Pour cela, elle propose plusieurs fonctionnalités en commençant par l’analyse des données. L’apprentissage automatique lui permet de détecter facilement les comportements anormaux. L’outil assure aussi une surveillance en temps réel des indicateurs de compromission et corrige automatiquement les incidents. De son côté, l’équipe de sécurité dispose d’un tableau de bord qui affiche les rapports et les alertes.

L’ITDR est souvent une solution complémentaire à d’autres comme le SIEM, XDR ou encore SOAR. Il peut aussi être intégré avec les outils de gestion des accès privilégiés (PAM).

Pourquoi l’ITDR est important pour l’organisation ?

L’émergence de l’ITDR est justifiée par les récentes cyberattaques. Ils ont démontré que la sécurité des systèmes et des applications, des terminaux ou encore du réseau n’est pas suffisante. Les identités méritent aussi une gestion avancée à l’aide d’outils sophistiqués comme l’ITDR.

Gratuit
Téléchargez Le Grand Livre de la cybersécurité
Plus de 180 pages d’articles indispensables rédigés par des experts pour vous aider à mieux comprendre le secteur de la cybersécurité.
Téléchargez gratuitement le Grand Livre DE LA CYBERSÉCURITÉ

Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49

Les vulnérabilités basées sur l’identité en hausse

vol d'identité

D’après le dernier rapport de CrowdStrike en 2024, 80% des cyberattaques commencent à partir d’un identifiant volé ou compromis. Cet accès permet aux pirates d’effectuer un déplacement latéral dans le système de l’organisation sans se faire remarquer. Le rapport de Verizon révèle que 74% des violations de données impliquent le facteur humain. Les employés sont ciblés par des attaques d’ingénierie sociale, de phishing, etc.

La supply chain étend la surface d’attaque d’une organisation. L’attaque SolarWinds a démontré qu’un accès privilégié au système informatique par un tiers peut être dévastateur. Au lieu de hacker les mesures de sécurité de l’organisation, les attaquants passent par l’ordinateur portable d’un sous-traitant par exemple. Ils peuvent aussi exploiter l’obsolescence ou l’absence de mise à jour des applications.

Il faut seulement 84 minutes aux cybercriminels pour répandre leur attaque à l’ensemble de l’entreprise. En l’absence d’un outil de détection comme XDR ou EDR, il peut encore passer 250 jours en moyenne avant que cette intrusion ne soit identifiée.

L’identité constitue aussi un outil redoutable dans les attaques internes. En effet, 34% des entreprises ont été touchées par ce type d’attaque en 2023.

Les identités : un environnement de plus en plus complexe

L’adoption des outils basés sur le cloud est en hausse constante d’après Eurostat. En effet, 77% des entreprises européennes ont déjà acheté un service dans le cloud en 2023 contre 71% en 2021. Ce chiffre devrait encore augmenter avec l’essor du télétravail.

Dans ce contexte, la détection et la protection contre les cyberattaques deviennent complexes. Les équipes de sécurité manquent de visibilité à cause de la diversité de l’architecture multicloud. Ils éprouvent aussi des difficultés à assurer un audit régulier et en règle des utilisateurs.

D’après Crowdstrike, 90% des entreprises s’appuient encore sur Active Directory dans la gestion de leur infrastructure d’identité. Pourtant, les récents événements ont prouvé les vulnérabilités de cette technologie aux cyberattaques.

Vous souhaitez travailler dans la cybersécurité ?
2 FORMATIONS DE POST BAC À BAC+5 100% dédiées à la cybersécurité
Nos programmes de formation sont pensés avec les entreprises du secteur de la cybersécurité et du digital pour maximiser l’employabilité de nos étudiants. Le Bachelor a été construit pour transmettre de solides bases de développement informatique tout en parcourant progressivement les notions clés de la cybersécurité. Le MSc est à 100% dédié à la cyber et spécialise dans un métier de la cybersécurité. Nos diplômes sont reconnus par les entreprises et par l’Etat, ils délivrent en fin de cursus un titre RNCP de niveau 6 (Bac+3) ou 7 (Bac+5).

Comment l’ITDR s’intègre aux autres solutions comme EDR et IAM ?

edr et iam

IAM (gestion des identités et des accès) peut être considéré comme l’ancêtre de l’ITDR. Elle était la solution permettant de contrôler et gérer l’accès des utilisateurs aux applications et systèmes d’information de l’entreprise. L’IAM garantit que chaque utilisateur dispose d’un accès qui soit conforme à leur rôle et leur responsabilité. Cela diminue les accès non autorisés aux données sensibles.

De son côté, l’ITDR propose une approche plus avancée. La solution peut analyser, détecter et répondre à toutes les menaces liées à l’identité. Elle représente ainsi un complément aux systèmes IAM.

Par ailleurs, l’ITDR présente des fonctionnalités similaires aux autres outils de détection et de réponse comme EDR. ITDR analyse et surveille tous les accès des utilisateurs et signale les comportements suspects et activités malveillantes. EDR, par contre, agit au niveau des points terminaux.

Les deux solutions se complètent ainsi et offrent à l’entreprise un avantage significatif en matière de détection des intrusions.

Quelles sont les principales fonctionnalités de cette solution ?

Depuis la sortie du rapport Gartner en 2022, les solutions ITDR se multiplient sur le marché. Cela rend le choix difficile pour l’entreprise. L’outil idéal devrait proposer les trois fonctionnalités suivantes :

Visibilité en temps réel

La solution offre à l’équipe de sécurité une visibilité en temps réel des cybermenaces basées sur l’identité. Pour cela, elle collecte toutes les données provenant de sources variées (logiciel d’entreprise, applications sur le cloud, messagerie, etc.). Pour identifier une menace, ITDR effectue une analyse avancée des identités. L’apprentissage automatique lui permet également d’étudier les comportements des utilisateurs et de détecter les anomalies.

Contrôle proactif

Un système ITDR performant est capable de prendre des mesures proactives via la réponse automatisée. Suite à un accès répété sur une application par exemple, il peut bloquer cet utilisateur et lancer une alerte. L’équipe de sécurité procède ainsi à une enquête.

Contrôle basé sur le risque

Toutes les alertes ne représentent pas forcément une menace. Un utilisateur qui se connecte plusieurs fois à une application peut seulement avoir des problèmes avec son ordinateur. Une équipe de sécurité inondée par des alertes similaires peut retarder leur traitement.

Un outil ITDR efficace doit être capable de trier les alertes pour éliminer les faux positifs et hiérarchiser les risques.

Quels sont les types de menaces qu’une solution ITDR peut traiter ?

L’identité est devenue le point d’entrée des cyberattaques modernes. Caesars Palace, par exemple, a dû payer 15 millions de dollars suite à une attaque de ramsomware provoquée par la compromission d’une identité. Pour Gartner, l’ITDR représente la deuxième et troisième couche de sécurité après la prévention. L’outil est capable de bloquer différents types d’attaques :

Menaces internes

Les menaces internes constituent une attaque difficile à maîtriser pour de nombreuses organisations. La gestion des identités limite l’accès à des données sensibles. Pourtant, certains employés peuvent abuser de leur privilège pour obtenir ces informations.

Une solution ITDR surveille l’activité des employés pour repérer les anomalies. Cela permet de détecter à temps une intention malveillante. Prenons le cas d’un comptable qui a un accès aux informations financières de l’entreprise. Ce dernier effectue soudainement des téléchargements des données. L’ITDR considère ce comportement comme suspect et en informe directement l’équipe de sécurité.

Cette méthode courante consiste à obtenir un accès au compte d’un client ou d’un employé. Les cybercriminels se servent de cette identité pour commettre une fraude via l’usurpation ou pour voler des données sensibles. Difficile à détecter, ce type d’attaque peut être identifié par un outil ITDR grâce à son système de surveillance continu des utilisateurs. Il verrouille aussitôt le compte suite à un comportement suspect et inhabituel.

Prenons l’exemple de l’identifiant d’un employé qui accède au réseau de l’entreprise depuis un emplacement autre que son bureau et son domicile. L’ITDR crée une alerte et bloque automatiquement le compte jusqu’à ce que l’employé vérifie de nouveau son identité.

Abus de l’accès privilège

Cela signifie qu’un utilisateur possède le droit d’accès aux informations sensibles de l’entreprise. Il peut aussi se servir de son privilège pour entrer dans un système qui n’est pas dans son domaine de compétence.

Prenons l’exemple d’un manager qui accède aux données de l’entreprise en dehors des heures de travail. L’ITDR crée aussitôt une alerte pour mettre l’équipe de sécurité sur l’enquête.

Phishing et ingénierie sociale

Les cybercriminels usent de tous les subterfuges pour tromper les employés et les inciter à dévoiler des informations sensibles. En France, le baromètre CESI rapporte que le phishing reste le premier vecteur d’attaque des entreprises. Par ailleurs, 91% des attaques sont menées par e-mail.

L’ITDR est capable d’identifier les e-mails de phishing grâce à la surveillance du trafic de messagerie. L’outil met en quarantaine le message malveillant avant que l’employé puisse cliquer sur un lien douteux.