Le monde traditionnel des domaines joints Active Directory (AD) est entré en collision avec l'explosion de services de cloud computing, Applications SaaS, identités non humaines (assurances maladie nationale), et autonome Agents d'IA, créant ainsi une vaste surface d'attaque, souvent invisible.
Ce qui était autrefois un château bien organisé de tickets Kerberos est maintenant une jungle pilotée par l'IA, caractérisée par une prolifération de jetons, des comptes de service surdimensionnés, et mouvements latéraux à la vitesse de la machine.
Mais la vérité, c'est que, même si la notion d'« identité » continue d'évoluer, de nombreuses organisations sont toujours aux prises avec des défis fondamentaux qui existent depuis le début des années 2000. Eh oui, je parle bien d'héritage. Active Directory.
Tandis que les RSSI abordaient la question de l'adoption sécurisée de l'IA avec le reste de la direction, le DSI et plateformes IAM Les équipes ont continué à travailler discrètement en coulisses, se concentrant sur la manière de répondre aux besoins de l'entreprise et de développer les capacités de collaboration existantes, quel que soit le type d'infrastructure qui assure le bon fonctionnement de l'entreprise.
IAM ≠ Sécurité de l'identité
Il existe une idée fausse très répandue selon laquelle le fonctionnement actuel de la gestion des identités et des accès (IAM) serait la meilleure (ou la seule) approche pour intégrer la sécurité en matière d'identité, et il est temps que le DSI et le RSSI partagent la même vision.
L’octroi d’accès ne signifie pas la maîtrise des risques associés. C’est là que l’identité et la sécurité se heurtent, ce qui soulève la question suivante : « Hé, RSSI, êtes-vous à l'aise avec votre DSI ? » Active Directory « Quelle stratégie à l’ère de l’IA ? »
Je vais vous donner un exemple : l’équipe IAM synchronise-t-elle l’Active Directory local avec… Entra IDJane Doe du service marketing change son mot de passe, qui maintenant en outre Les données, initialement stockées sur site, ont été répliquées et stockées dans le cloud. Le traitement et la sécurité des données diffèrent entre l'infrastructure sur site et le cloud ; l'équipe d'infrastructure a donc, tout en effectuant ses tâches habituelles, accru la surface d'attaque de l'organisation.
Dans la suite de cet article, nous explorerons l'évolution du risque lié à l'identité et pourquoi un risque spécifique sécurité d'identité La stratégie doit être le fruit d'une collaboration entre les équipes informatiques et de sécurité, et il s'agit de définir des mesures concrètes pour établir des objectifs communs tout en garantissant la conformité.
L'identité est la première surface d'attaque
Active Directory Il n'a jamais été conçu pour l'IA. Nous avions une confiance centralisée, Kerberos. protocoles d'authentificationet la stratégie de groupe était facilement définie grâce à un périmètre limité. Les identités étaient principalement humaines, et les déplacements verticaux et élévations de privilèges Les attaques suivaient des chemins latéraux prévisibles (par exemple, le passage du hachage). La sécurité reposait sur un modèle clair : renforcement des GPO, réseaux de niveau 0 et défenses basées sur le « golden ticket ».
Mais alors est venu transformation vers le cloud et hybride...
Le périmètre s'est estompé. L'approche hybride est devenue la norme : les organisations conservent un Active Directory sur site pour les applications critiques et les exigences de conformité, tout en étendant les identités à d'autres environnements. Entra ID or OktaLa facilité d'accès aux applications SaaS a entraîné une augmentation sans précédent du shadow IT, et de nombreuses identités prolifèrent désormais en dehors du champ de vision du SOC.
Avance rapide vers identités non humaines et l'IA agentielle. Les NHI apprécient désormais les comptes de service et les clés API. elles sont au moins 50 fois plus nombreuses que les identités humaines., tandis que les agents d'IA se voient accorder l'accès aux fichiers, aux systèmes financiers, aux calendriers et aux bases de code – laissant derrière eux de nouveaux jetons, identifiants et journaux.
Résultat ? Votre Active Directory n’est plus qu’un maillon d’un réseau complexe de systèmes déconnectés et aux autorisations surdimensionnées. Le risque lié à l’identité est désormais dynamique ; vous ne pouvez donc plus vous fier à des modèles statiques basés sur les rôles. Des failles comme celle de SolarWinds exploitent l’identité fédérée et la falsification de jetons SAML, révélant ainsi que les identités sont souvent persistantes, dotées d’autorisations excessives et mal gérées.
Au lieu d’aborder la « gestion des identités » comme un simple jeu de gestion des accès, vous avez besoin d’une évaluation continue de la sécurité.
« Votre Active Directory n'est plus qu'un maillon d'un réseau complexe de systèmes déconnectés et aux autorisations excessives. » – Eric Haller, conseiller
Qu’est-ce qui a changé dans le paysage des risques ?
Avec l'IA et la transformation numérique, l'utilisation de l'identité évolue. Elle devient fédérée (cloud) et usurpée (IA), ce qui complexifie la résolution des problèmes de visibilité et de contrôle. Ce contexte implique La communication et la stratégie doivent également évoluer.L'équipe IAM chargée du déploiement de l'infrastructure doit collaborer étroitement avec l'équipe de sécurité qui la sécurise, et inversement. Il n'y a plus d'intermédiaire.
Voici les objectifs prioritaires qu'il est impératif de partager face à cette nouvelle réalité :
- Tenir un inventaire des identités
- Utilisez le Principe du moindre privilège
- Configurer les systèmes selon une perspective axée sur l'identité
Conseils pour la mise en place des objectifs prioritaires et leurs actions respectives
Voyons plus précisément à quoi ressemblent ces objectifs prioritaires et pourquoi ils sont importants.
Étape 1 : Connaître et classer les identités existantes
Gartner a commencé à appeler cela «Plateformes d'inventaire d'identité, de visibilité et de renseignement (IVIP)En d'autres termes, les équipes d'identité et de sécurité doivent être en mesure d'identifier les identités existantes, leurs types et leurs interactions avec les systèmes environnants. Concrètement, l'équipe d'identité gère l'accès à un dossier SharePoint, tandis que l'équipe de sécurité a une visibilité sur l'existence et les autorisations de cette identité. Forte de sa connaissance des bonnes pratiques de sécurité, l'équipe de sécurité peut formuler des recommandations de moindre privilège après avoir examiné l'ensemble des accès de l'identité au sein de l'organisation. Elle peut également fournir des informations clés sur les autres failles de sécurité ou les accès dont le compte pourrait disposer au-delà de l'autorisation prévue. Cette approche offre une opportunité de validation et d'évaluation des risques souvent négligée, notamment lorsque le nombre d'identités augmente. Cela n'est possible que si nous connaissons… est ce que nous faisons les identités existent et leurs relations dans l'ensemble de l'environnement hybride.
Étape 2 : Prioriser toutes les identités privilégiées (et pas seulement celles connues de PAM)
Il y a de fortes chances que votre organisation utilise un Privileged Access Management (PAM) (PAM) solution. Le problème, c'est que PAM Sa qualité dépend de la qualité des identités enregistrées dans son système. Il est important d'identifier et de hiérarchiser toutes les identités. comptes privilégiés En se basant sur l'activité d'authentification réelle, vous pourrez cartographier les risques dans l'ensemble de votre environnement et permettre à l'équipe de sécurité de mettre en œuvre des contrôles d'accès juste-à-temps (JIT). L'équipe IAM peut apporter son soutien en fournissant un contexte supplémentaire sur chaque identité privilégiée et en garantissant une documentation et une attribution claires. Ce niveau de détail permet également d'élaborer une stratégie d'ingénierie des alertes SOC plus robuste.
Étape 3 : Renforcer l’hygiène de sécurité sous-jacente
Un environnement plus sécurisé est également plus facile à gérer et à provisionner. Par exemple, ce prestataire de l'équipe d'exploitation qui a quitté ses fonctions il y a 6 mois ? Il est toujours dans le système. La surveillance continue permet de « nettoyer » les éléments existants et why dans l'inventaire global des identités, ce qui facilite la tâche de l'équipe de sécurité pour réduire le surface d'attaque et l'équipe chargée de la gestion des identités pour gérer les systèmes et applications utilisés. De plus, les deux services peuvent collaborer pour appliquer accès conditionnel fondé sur les risques Les politiques et les périmètres d'accès isolés permettent d'optimiser la synergie avec les pipelines SIEM/SOAR qui signalent les activités inhabituelles. Il s'agit d'un élément essentiel pour garantir des objectifs communs aux équipes IAM et sécurité : la collaboration entre le DSI et le RSSI permet de déployer des mesures préventives automatisées, comme la restriction d'accès du prestataire, avant tout abus.
Un plan d'action réalisable pour travailler à partir d'objectifs partagés
Après avoir défini vos objectifs principaux, il est temps de réunir le DSI, le RSSI et leurs équipes IAM et sécurité respectives pour un échange. Voici les points à aborder ensemble afin de : a) confirmer les résultats mesurables et b) identifier les lacunes en matière de communication et de projet à combler.
- Cartographiez votre systèmes de joyaux de la couronne et qui (ou quoi) y a accès
- Identifier le Les 10 identités les plus risquées fondé sur les privilèges, l'utilisation et l'étendue
- Développent Plans de jeu SOAR pour surveiller les événements clés du cycle de vie de l'identité, tels que la résiliation de l'accès latent (ou similaire).
- Partenaire sur ingénierie des alertes (et flux d'enrichissement/contexte) Pour améliorer la visibilité du SOC sur les abus de comptes, il s'agit d'exploiter la connaissance qu'a la gestion des identités et des accès (IAM) des utilisateurs prévus (par opposition à la vision des utilisateurs réels par la sécurité) afin d'améliorer les protections.
- Établir processus de communication Lorsque des incidents non détectés (sécurité) sont causés par une défaillance des contrôles (informatique), cela ouvre la voie à des améliorations des contrôles (IAM) et à une meilleure couverture de sécurité.
- Commencer à utiliser MFA basé sur le comportement, Détection des menaces axée sur l'identité et journalisation fine
Si vous contrôlez l'identité, vous contrôlez la chaîne d'attaque.
Dans un monde d'automatisation et d'IA où Active Directory assure toujours la continuité des activités et la productivité, L'identité est le nouveau point finalLe nouveau périmètre, la nouvelle clé du royaume. Si vous ne parvenez pas à le visualiser, le segmenter et le sécuriser – une tâche qui exige une collaboration étroite entre la gestion des identités et des accès (IAM) et la sécurité, fondée sur des comportements et des objectifs partagés –, vous avez déjà perdu.
Prenons au sérieux la protection de l'identité de nouvelle génération, car la prochaine violation ne sera pas une attaque par force brute – Il s'agira d'un agent d'IA autonome doté d'une ancienne clé API..
Pour commencer à élaborer des résultats et des projets partagés entre les équipes IAM et de sécurité, Commencez par constituer votre inventaire d'identités pour mettre en lumière ce qui se passe réellement dans votre environnement.