« Sans données, vous n'êtes qu'une personne avec une opinion. »
C'est une version moderne du principe intemporel de Peter Drucker : on ne peut gérer ce qu'on ne mesure pas. Si vous n'avez pas la visibilité nécessaire pour comprendre votre problème, comment pouvez-vous espérer le résoudre ? Savez-vous même quel est le véritable problème ?
Voici le dilemme auquel sont confrontés aujourd'hui les professionnels de la cybersécurité. Au cours de l'année écoulée, le secteur a enfin pris conscience que sécurité d'identité Ce n'est pas seulement important, c'est fondamental pour la cybersécurité. Pourtant, la plupart des organisations manquent encore de visibilité réelle et de données pertinentes pour quantifier leur exposition. Lorsque j'étais DSI d'un grand cabinet de conseil, mon équipe et moi-même nous sommes retrouvés dans cette situation il y a quelques années.
Le déficit de visibilité en matière de protection de l'identité
Mon équipe informatique était très axée sur les données. Nous disposions de rapports détaillés pour l'ensemble des opérations : gestion de programmes, gestion des services, disponibilité, etc. Nos rapports de cybersécurité étaient également très aboutis, notamment en matière de protection du périmètre et de gestion des vulnérabilités.
Mais en ce qui concerne l'identification des personnes, les informations étaient insuffisantes. Ma question fondamentale, « à quel point sommes-nous exposés ? », restait sans réponse. Ce manque de clarté était tout simplement accepté comme « le mieux que nous puissions faire ».
Nous avions confiance en nos solides défenses périmétriques, appuyées par des équipes compétentes, un SOC mondial, des systèmes SIEM et ITDRIls nous ont protégés. Cette conviction s'est évanouie dès l'arrivée de l'équipe rouge.
Le réveil
Pour les non-initiés, une équipe rouge (définie par le NIST comme « un groupe de personnes autorisées à simuler une attaque d'un adversaire potentiel ») teste jusqu'où un attaquant peut pénétrer vos défenses, idéalement sans déclencher d'alarme. Leur objectif ultime est d'obtenir un accès administrateur à l'ensemble de votre domaine.
Dans notre cas, le point d'entrée de l'équipe rouge était une attaque de phishing savamment orchestrée. Malgré des exercices de phishing internes réguliers, un faible pourcentage d'utilisateurs a cliqué, et cela a suffi.
Ce qui suivit fut plus alarmant encore. Malgré nos défenses de pointe, l'équipe rouge a opéré sans être détectée pendant des semaines. Aucune alerte n'est parvenue au SOC, noyée dans le flot de données SIEM. L'exercice ne prit fin que lorsqu'ils décidèrent d'y mettre un terme. À ce moment-là, ils avaient déjà obtenu un accès au domaine via une faille oubliée depuis longtemps. compte privilégié.
La dure réalité
Nous venions de terminer un programme de renforcement de la cybersécurité de cinq ans et de plusieurs millions de dollars, utilisant des outils de pointe. Pourtant, un adversaire chevronné a réussi à pénétrer notre système, car nous n'avons pas pu empêcher l'utilisation abusive des identifiants.
Depuis, j'ai constaté le même scénario se répéter dans de nombreuses organisations, quel que soit leur niveau de sophistication. Si vous pensez être à l'abri de cette menace sans pouvoir le prouver par des données, vous misez sur l'espoir, et l'espoir n'est pas une stratégie.
Ce que nous avons appris
- Protection de l'identité est fondamentale.
La défense périmétrique est essentielle, mais ce qui se passe après une intrusion est crucial. Briser une vitre est grave ; perdre tous ses biens de valeur est bien pire. Dans chaque attaque, l’utilisation abusive d’identifiants privilégiés est la cause principale de cette perte. - Quantifiez votre risque.
Les opinions sur la sécurité ne suffisent pas. Appuyez-les sur des données. Organisez un exercice de simulation d'attaques (Red Team) qui teste non seulement votre périmètre, mais aussi vos défenses internes en matière d'identité. Quantifier vos risques vous donne une chance de les atténuer. - La visibilité est primordiale.
De nombreux référentiels d'identités ont évolué au fil des décennies, masquant souvent les risques hérités. Il est essentiel de pouvoir identifier les comptes à haut risque dans tous les systèmes depuis une interface unique. Sans cela, votre équipe travaille à l'aveuglette. - Couvrez les bases.
Vous pensez peut-être avoir la pleine maîtrise de la situation. authentification multi-facteur couverture, mais il y a de fortes chances que vous ne le fassiez pas. Les systèmes hérités, les partages de fichiers et les outils en ligne de commande ne prennent souvent pas en charge l'authentification multifacteur et deviennent des points d'entrée faciles. De même, le cloisonnement des données est problématique. identités non humaines Il est donc vital qu'ils ne puissent être utilisés que là où ils sont destinés à l'emploi.
« L’utilisation abusive des comptes privilégiés – humains ou non – est au cœur de la plupart des attaques réussies. »
Une illumination soudaine
Le tournant s'est produit peu après notre exercice d'équipe rouge, lorsque j'ai découvert que Silverfort plateforme. Ce fut une révélation pour moi et mon RSSI.
Notre preuve de concept l'a confirmé : si l'équipe rouge a pu obtenir un accès initial, elle était incapable de se déplacer latéralement ou de causer des dommages. Plus important encore, nous avons enfin bénéficié de la visibilité sur nos bases de données d'identités qui nous faisait défaut depuis des années — un progrès considérable dans la réduction des cyber-risques.
Livre électronique
Prévenir les mouvements latéraux Active Directory
- Pourquoi les défenses traditionnelles ne peuvent pas arrêter mouvements latéraux
- Comment déjouer les mouvements latéraux grâce à une stratégie axée sur l'identité
- Les capacités indispensables pour une défense efficace
On ne peut protéger ce qu'on ne voit pas.
La leçon que j'ai tirée de mon expérience – et de nombreuses autres depuis – est claire : on ne peut protéger ce qu'on ne voit pas. L'identité est devenue le nouveau champ de bataille de la cybersécurité, et pourtant, elle demeure le domaine le moins mesuré et le plus mal compris. Sans quantifier les risques liés à l'identité, votre organisation navigue à l'aveugle, se fiant à des suppositions et des opinions plutôt qu'à des preuves.
Les tests en conditions réelles, la visibilité continue et les données exploitables distinguent les organisations qui se croient en sécurité de celles qui le sont réellement. La capacité de voir, de mesurer et de comprendre comment les identités sont utilisées – et détournées – au sein de votre environnement transforme la sécurité d'une approche réactive à une approche proactive.
En quantifiant les risques liés à l'usurpation d'identité, vous ne vous contentez pas de révéler les failles ; vous donnez à votre équipe les moyens de prendre des décisions éclairées, de prioriser efficacement et de combler les lacunes exploitées par les attaquants. En cybersécurité, c'est ce qui fait la différence entre espérer le meilleur et défendre sereinement ce qui compte le plus.