AVIS D’EXPERT – Pour Matthieu Trivier, Director EMEA Pre-Sales chez Semperis le décor est planté : en 2023, la sécurité centrée sur l’identité occupera le devant de la scène. Mais quelles exigences les plus importantes pour les solutions de détection et gestion des menaces des systèmes d’identité (ITDR) ?
Ces dernières années, nous avons vu des entreprises adopter ouvertement des environnements cloud hybride pour passer à des modèles plus flexibles dans cette époque dite de « nouvelle normalité ». Le passage au numérique s’est donc poursuivi, soutenu par une pléthore d’applications, de solutions, de technologies et d’appareils innovants qui offrent de nombreux avantages en termes de productivité et de fonctionnement.
En revanche, les aspects sécuritaires de cette transition se sont avérés un peu plus complexes.
En adoptant le Cloud, le périmètre traditionnel du réseau cesse d’exister. À la place, les entreprises doivent gérer des environnements d’identité hybrides avec un nombre infini de points d’accès possibles à défendre. Empêcher les attaquants de se déplacer librement entre les environnements sur site reposant sur Active Directory (AD) et les environnements cloud reposant sur Azure AD est devenu une préoccupation majeure pour de nombreuses entreprises.
En effet, pour beaucoup d’entre elles, la principale motivation pour développer des environnements hybrides était la nécessité opérationnelle en réponse à la pandémie, et non la sécurité. Par conséquent, de nombreuses entreprises tentent aujourd’hui de combler les lacunes en matière de sécurité, a posteriori.
Malheureusement, cette tâche s’avère délicate. Qu’il s’agisse de prévenir, de détecter, de corriger ou de se rétablir des menaces qui visent AD, le cycle de vie des attaques AD est jalonné de défis.
En effet, de nombreuses entreprises manquent de confiance dans leur capacité à relever les défis du paysage actuel des menaces. Lors d’une enquête de Semperis menée auprès des responsables informatiques et de la sécurité de plus de 50 entreprises, nous avons constaté qu’un tiers seulement (33 %) avaient confiance dans leur capacité à prévenir les attaques AD sur site, tandis qu’un peu plus d’un quart (27 %) se disaient confiants dans leur capacité à atténuer les attaques AD Azure.
L’importance de l’ITDR
Étant donné que les systèmes d’identité sont devenus une cible de choix pour les cybercriminels, ces statistiques sont préoccupantes.
On estime qu’AD est une cible dans 9 cyberattaques sur 10. En effet, Gartner indique que les failles de sécurité reposent principalement sur l’utilisation incorrecte d’identifiants. Les attaquants étatiques qui ciblent activement AD et l’infrastructure d’identité connaissent un succès phénoménal.
En outre, les environnements hybrides ne sont pas près de disparaître. Non seulement AD est le magasin d’identités principal utilisé par 90 % des entreprises dans le monde, mais Gartner prévoit également que seules 3 % des entreprises migreront complètement d’AD vers un service d’identité basé sur le cloud d’ici 2025.
Voilà pourquoi Gartner a non seulement désigné la défense des systèmes d’identité comme l’une des principales tendances en matière de cybersécurité pour 2022, mais a également créé une toute nouvelle catégorie : la détection et gestion des menaces des systèmes d’identité (ITDR)
De toute évidence, les entreprises savent qu’elles doivent mieux protéger leurs systèmes d’identité.
Plus des trois quarts (77 %) des personnes interrogées dans le cadre de notre enquête ont admis qu’elles subiraient probablement des conséquences graves ou catastrophiques si une cyberattaque mettait AD hors service, tandis que 32 % seulement ont indiqué qu’elles étaient « extrêmement confiantes » dans leur capacité à se remettre d’une attaque visant AD.
Les entreprises cherchant à contrer les menaces liées à AD, les solutions ITDR spécifiquement conçues pour défendre les systèmes d’identité ont rapidement gagné en popularité, les entreprises recherchant plusieurs méthodes pour protéger et restaurer leurs environnements hybrides.
Nous nous penchons ici sur les exigences les plus importantes en matière d’ITDR, tel qu’indiqué par les personnes interrogées dans le cadre de notre enquête.
-
Récupération rapide et automatisée d’AD
Notre enquête révèle qu’en cas de cyberattaque mettant AD hors service, une nette majorité (77 %) des entreprises subiraient un impact grave (car elles disposent d’une solution généraliste de reprise après sinistre, mais pas de support spécifique pour AD) ou catastrophique (elles devraient alors effectuer une récupération manuelle à l’aide de sauvegardes, ce qui prendrait plusieurs jours ou semaines). Par conséquent, la possibilité pour les entreprises de se rétablir rapidement (en quelques heures au lieu de plusieurs jours ou semaines) et de manière automatisée est une priorité majeure pour tous ceux et celles qui recherchent des solutions ITDR.
-
Détection des attaques qui parviennent à contourner les outils traditionnels
Les personnes interrogées indiquent également que l’incapacité à détecter les attaques qui contournent les outils de surveillance traditionnels constitue la principale préoccupation générale en matière de protection d’AD. Les entreprises recherchent des solutions qui utilisent plusieurs sources de données – y compris le flux de réplication AD – pour détecter et atténuer les effets des attaques avancées.
-
Transparence améliorée dans AD et Azure AD
La détection des attaques qui passent d’AD sur site à Azure AD, ou vice versa, est devenue une préoccupation majeure des entreprises qui gèrent des environnements hybrides. En effet, seul un tiers des personnes interrogées ont indiqué qu’elles seraient très confiantes s’agissant de prévenir ou remédier à une attaque AD sur site, et seulement 27 % ont fait part du même niveau de confiance concernant Azure AD. Les entreprises ont besoin de solutions capables de fournir une plus grande transparence dans les activités qui impliquent les environnements AD et Azure AD.
-
Détection de vulnérabilités et de problèmes de configuration existants
Compte tenu du nombre d’attaques qui exploitent les vulnérabilités AD quasi quotidiennement, les entreprises sont naturellement préoccupées par l’évaluation de leurs environnements pour détecter les vulnérabilités susceptibles de laisser la porte ouverte aux attaquants. Identifier ces vulnérabilités est la première étape vers l’amélioration de la sécurité. Un plan de maintenance à long terme implique de vérifier en permanence la posture de sécurité en matière d’identité pour détecter les faiblesses – ce que les entreprises recherchent à travers les solutions ITDR.
-
Remédiation automatisée
Dès lors que les attaquants déposent un logiciel malveillant, les cyberattaques se déplacent souvent à la vitesse de l’éclair. La remédiation automatisée est donc essentielle pour empêcher une exploitation de déboucher sur un accès avec privilèges et une éventuelle prise de contrôle du réseau. Lors de la fameuse cyberattaque NotPetya de 2017 contre le géant du transport maritime Maersk, l’ensemble du réseau de l’entreprise a été infecté en quelques minutes. Les personnes interrogées dans le cadre de l’enquête ont indiqué que pour mettre fin aux attaques à propagation rapide, la capacité de remédiation la plus importante était la correction automatisée des modifications malveillantes, devant le suivi et la corrélation des modifications entre AD sur site et AD Azure.
Répondre à des exigences diverses grâce à une stratégie à plusieurs niveaux
Il est clair que les entreprises recherchent des solutions capables de faire face aux menaces avant, pendant et après une attaque liée à l’identité.
Se remettre rapidement d’une attaque est une priorité. La capacité à gérer les menaces est tout aussi importante, car, dans leur lancée, les entreprises cherchent à corriger leurs vulnérabilités et à stopper les acteurs malveillants. Pour ce faire, il faut disposer d’un éventail de capacités allant de l’évaluation de la posture de sécurité et de la surveillance en temps réel à la remédiation automatique des menaces détectées, en passant par la sauvegarde et la récupération rapides de la forêt AD.
C’est pourquoi, lors de l’évaluation des solutions ITDR, les entreprises devraient chercher à adopter celles qui offrent une défense complète et stratifiée afin d’obtenir une protection optimale de leurs environnements hybrides.
