Toute entreprise porte un bagage. En termes d'identité, ce bagage est souvent au cœur des opérations : Active Directory, comptes de service, obsolètes et non sécurisés protocoles d'authentification Protocoles (NTLM vous inquiète-t-il ?) et applications sur site essentielles à la continuité des activités. Ces systèmes existent depuis des décennies et sont profondément ancrés dans les écosystèmes informatiques. Ils ne sont pas près de disparaître, même avec les initiatives de transformation cloud.
Identifiants compromisLes campagnes de mouvements latéraux et de rançongiciels commencent souvent par des comptes AD ou des comptes de services non gérés, car ils constituent la voie de moindre résistance. En fait, des recherches récentes révèlent que 94.3 % des organisations n'ont pas une visibilité complète sur leurs comptes de service, et encore moins sur leur activité. Les attaquants savent que ces systèmes n'ont pas été conçus pour les menaces modernes, tout comme plateformes IAM et les équipes de sécurité savent qu’elles n’ont pas non plus été conçues pour les contrôles modernes.
J'ai vécu cette expérience, et il est facile de se sentir pris au piège sous le poids de tous ces risques d'identité résiduels lorsque les seules options pour les gérer sont deux choix finalement peu satisfaisants : les gérer en les intégrant aux outils IAM traditionnels ou les migrer. Ces deux approches sont lentes et coûteuses à mettre en œuvre, et le risque reste inchangé jusqu'à la fin des travaux.
À l’époque où j’étais responsable de l’IAM pour un grand détaillant, J'ai découvert qu'il y a une troisième voieLa question clé pour la plupart des entreprises est : « Comment puis-je être suffisamment en sécurité malgré mon héritage ? » La nature des menaces actuelles signifie que chaque compte représente un risque et nécessite une protection. Nous ne pouvons donc pas laisser notre héritage derrière nous ni attendre que la transformation se produise système par système.
Option traditionnelle 1 : Gérez votre risque d’identité
La première option que la plupart des organisations envisagent est de « gérer » leur risque d’identité, généralement en superposant des contrôles compensatoires tels que Privileged Access Management (PAM) (PAM). En théorie, cela permet une surveillance plus stricte des comptes à haut risque.
En pratique, et comme le savent la plupart des personnes ayant déjà participé à un projet d’intégration PAM, l’approche est pleine d’obstacles :
- L'intégration est lente et difficile, les progrès étant gagnés compte par compte.
- La « peur de casser des choses » l’emporte : ne pas savoir à quoi servent les identités comporte des risques, ce qui est particulièrement néfaste pour les systèmes qui ne sont plus activement développés.
- C'est fragile : les migrations d'infrastructures et les changements de système rendent obsolètes les contrôles durement acquis.
- Pour assurer l'intégrité, cela signifie apporter des modifications au contrôle pour éviter qu'il ne soit contourné (par exemple, l'extraction des informations d'identification gérées par PAM).
Et surtout, le risque reste inchangé jusqu’à la fin du projet.
Pour de nombreuses entreprises, cela signifie des années d'exposition non gérée, pendant lesquelles votre équipe est absorbée par des tâches complexes, techniques et progressives qui n'ont que peu d'impact sur vos niveaux de risque réels. Cela conduit à de très Conversations difficiles entre dirigeants : « Quand le travail sera-t-il terminé ? » « Quel est notre risque résiduel ? »
En gérant sélectivement les risques en fonction de comptes privilégiés L'idée que cela puisse sécuriser l'ensemble de votre environnement d'identité est un espoir plutôt qu'une stratégie évolutive. Cette approche ne fait que retarder l'inévitable jusqu'à ce que vous ne puissiez plus l'ignorer.
Alors que le « tier 0 » — vos clés pour le royaume des contrôleurs de domaine, PKI, hyperviseurs — est nécessaire Pour se protéger, il ne faut pas s'arrêter là. Les systèmes qui gèrent l'entreprise doivent être tout aussi bien protégés pour éviter les interruptions d'activité, les temps d'arrêt et l'atteinte à la réputation de vos clients.
Webinaire à la demande
Découvrir et traiter les angles morts du PAM
Joignez-vous au Silverfort's Ron Rasin, directeur de la stratégie, et Kev Smith, ingénieur principal, alors qu'ils discutent des angles morts de la technologie traditionnelle Solutions PAM et plongez dans les fondamentaux de la sécurité des accès privilégiés (PAS)
Option traditionnelle 2 : Éloignez-vous de votre risque
La deuxième option que beaucoup d'entreprises envisagent est la « migration » ou la modernisation. Cela implique souvent de remplacer les identifiants statiques par des identifiants dynamiques, d'adopter la dématérialisation ou de migrer les charges de travail vers des environnements cloud avec sécurité intégrée. Protection de l'identitéCe sont toutes de bonnes choses en principe, mais les défis sont connus :
- Des modifications du système sont nécessaires, ce qui risque de briser les applications héritées fragiles.
- La migration est lente et progressive, application par application.
- Les coûts augmentent rapidement, tant en termes de temps que de ressources.
Et encore une fois, le risque reste inchangé jusqu’à ce que les travaux soient terminés, ce qui pourrait prendre des années.
Ne vous méprenez pas : la modernisation est essentielle à une stratégie informatique à long terme. Réalisée correctement et complètement, elle vous donnera une chance de remporter la bataille contre la compromission des comptes et la sécurité des identités.
Mais ce n’est pas une solution réaliste pour réduction immédiate des risques, et cela risque de rendre vos systèmes et applications existants vulnérables aux attaques. Après tout, la forte probabilité de perturber un processus vital maintenant est plus alarmant que le risque de compromission de compte, de violation ou mouvements latéraux à un moment donné dans le futur.
De mon point de vue, la modernisation doit se faire à partir d’une perspective de confiance, dans le présent. Cela signifie contenir le risque d'identité tout en préparant l'avenir. C'est la seule stratégie responsable compte tenu de l'importance accordée par les attaquants à l'identité.
Blog
NOTLogon : Comment une machine à faibles privilèges peut attaquer votre domaine par déni de service
Silverfort découvre Active Directory Vulnérabilité par déni de service (DoS), connue sous le nom de NOTLogon (CVE-2025-47978)
La troisième voie : maîtriser votre risque d’identité
Si la gestion et la migration ne suffisent pas, alors qu'est-ce qui est La solution est de maîtriser votre risque d'identité.
J'ai déjà parlé de l'importance d'acheter à vous-même et à votre équipe le temps et l'espace nécessaires pour moderniser votre paysage identitaire tout en gardant le contrôle du risque à chaque étape du processus.
Adopter cette approche signifie prendre en charge l'exposition de vos identités sans recourir à des contrôles fragiles ni à des migrations pluriannuelles. Cela implique d'appliquer des solutions modernes. sécurité d'identité à chaque partie de votre environnement, y compris les systèmes hérités, sans exception, afin que vous puissiez réduire les risques maintenant, et non dans des années. D'après mon expérience, la meilleure façon d'y parvenir est de mettre en œuvre une protection à large spectre qui renforce votre niveau de sécurité et vos maillons les plus faibles. C'est ce que j'entends par maîtrise votre risque d'identité.
Exigences clés pour maîtriser le risque d’identité :
- Développer une compréhension globale, à travers toutes les identités et tous les systèmes, leurs comportements et les processus qu’ils touchent ou influencent.
- Pas d’intégration : la protection ne doit pas dépendre de l’inscription manuelle du compte.
- Aucune modification du système : les systèmes hérités restent intacts et n'ont pas besoin d'être modifiés.
- Contrôles sûrs, enLa protection assurée ne se fait pas au détriment du temps de disponibilité ou de cette peur omniprésente de casser des choses.
À quoi cela ressemble-t-il en pratique?
Maîtriser les risques liés à l'identité implique de repenser notre approche de l'authentification. Au lieu de la considérer comme un outil commercial privilégiant la disponibilité à tout prix, nous devons privilégier la sécurité.
Dans un modèle privilégiant la sécurité, l'authentification devient le point de contrôle principal, appliquant par défaut des politiques basées sur les risques et contenant les menaces avant leur propagation. Imaginez si ces règles de base s'appliquaient à l'ensemble de votre environnement :
- Exiger l'authentification multifacteur pour tout accès aux infrastructures sensibles. Chaque administrateur se connectant à Active Directory. Chaque développeur se connectant à un serveur de production. Chaque compte de service Exécution d'un traitement par lots critique. L'application universelle d'une authentification forte garantit que les attaquants ne peuvent pas simplement pénétrer dans le système avec des identifiants volés ou obtenus par force brute. authentification multi-facteur est intégré directement dans le processus d'authentification, même les systèmes hérités qui ne l'ont jamais pris en charge nativement peuvent bénéficier de cette protection.
- Limitez le rayon d'explosion, malgré votre maturité en matière de gouvernance d'accès. Chaque compte non humain est limité à ses activités habituelles et répétées ; tout comportement inhabituel est bloqué. Les administrateurs sont autorisés à accéder aux ressources des enregistrements de modifications et des incidents qui leur sont attribués, et l'accès à tous les autres est bloqué, malgré leurs privilèges. moindre privilègeVous contrôlez désormais les garde-fous qui définissent ce qui peut arriver et où, de sorte que le rayon d'explosion de toute compromission de compte est limité.
- Refusez les connexions qui ne proviennent pas de sources fiables.
Une tentative de connexion depuis un emplacement inattendu, un poste de travail hors du contrôle de l'entreprise ou une adresse IP suspecte ne doit jamais être traitée comme une demande d'accès standard. La mise en œuvre en ligne vous permet de contester, de restreindre ou de bloquer purement et simplement ce type d'activité en temps réel. Cela réduit considérablement le risque : même en cas de vol d'identifiants, ils ne peuvent être utilisés en dehors des paramètres définis.
- Bloquez l’utilisation de protocoles hérités ou non sécurisés. NTLM et autres protocoles obsolètes Les vulnérabilités persistent, car elles préservent les systèmes critiques existants. Or, les attaquants exploitent ces mêmes failles pour exécuter des attaques par transmission de hachage et par relais, souvent sur des systèmes qui n'en ont même pas besoin. Grâce aux contrôles modernes au point d'authentification, vous pouvez désormais limiter leur utilisation aux seuls cas où elle est nécessaire. Ce n'est plus un choix binaire.
En implémentant des contrôles comme ceux-ci directement dans l'infrastructure IAM, en ligne et sans nécessiter de modifications perturbatrices des systèmes, l'environnement lui-même est désormais conçu pour contenir les risques d'identité. C'est la sécurité des identités en action.
Une fois les risques d'identité maîtrisés de cette manière, vous êtes libre de moderniser vos systèmes à votre rythme, en expérimentant des informations d'identification éphémères, en évoluant vers un privilège zéro ou en repensant les modèles d'accès, sans laisser vos systèmes exposés et sans la pression de la réduction des risques qui dicte les délais.
Plus les défis liés à l'héritage perdurent, plus ils sapent vos défenses actuelles et vos progrès futurs. Mais en En intégrant la sécurité dans la structure de l'authentification et en prenant le contrôle de votre risque d'identité dès aujourd'hui plutôt que d'attendre des années que les projets de transformation se terminent, vous vous préparez au succès. Agissez maintenant, et vos transformations futures seront plus rapides, plus fortes et plus sûres. Après tout, l'étalon-or d'aujourd'hui sera l'héritage de demain.
Pour en savoir plus sur les mesures concrètes à prendre pour mettre en œuvre cette approche, Téléchargez le Playbook sur la sécurité des identités.
Ressource gratuite
Le manuel de sécurité des identités
Ce guide est une ressource essentielle pour sécuriser chaque identité dans l'environnement numérique en pleine expansion de votre organisation. Vous y trouverez des conseils pratiques et un plan d'action en 5 étapes pour mettre en place une stratégie de sécurité des identités durable et efficace.