Les statistiques ne mentent pas : nous sommes en train de perdre la bataille contre la compromission des comptes.
Malgré les dépenses plus de $ 18.5 milliards sur les produits de sécurité d'identité en 2024 : une augmentation de 15 % par rapport à l'année précédente selon Gartner— l'identité reste le point d'entrée le plus courant pour les attaquants. C'est le vecteur le plus utilisé pour les compromissions initiales, et cette tendance devrait se poursuivre. Rien que cette année, on a recensé plus de 800 millions de nouveaux ensembles d'identifiants volés compromis à la suite de l'explosion des voleurs d'informations.
Alors, pourquoi continuons-nous à lutter ?
La réponse courte est que sécurité d'identité n'a pas évolué assez vite. Contrairement à d'autres domaines de la cybersécurité, l'identité reste ancrée dans une logique traditionnelle. Traditionnellement, elle était considérée comme une fonction de conformité et de facilitation des activités, plutôt qu'une fonction de sécurité de première ligne. Par conséquent, la plupart des organisations s'appuient sur des outils fragmentés, des implémentations complexes et des contrôles réactifs, incapables de faire face aux menaces modernes.
La compromission d’un compte n’est pas une anomalie, mais une conséquence inévitable d’un modèle obsolète.
Nous opérons toujours dans ce que l'on ne peut appeler que Sécurité des identités v1. Il s'agit d'une approche de première génération qui manque de l'agilité, de l'intégration et de la concentration nécessaires pour lutter contre les menaces actuelles. La stratégie consiste à superposer les contrôles. plus de Des environnements déjà exposés, souvent à travers des projets qui peuvent prendre plusieurs années. Mais les attaquants n'attendent pas, et nous non plus.
Un symptôme clair de ce manque de contrôle est les conversations inconfortables auxquelles sont confrontés de nombreux responsables de la sécurité : Quel est notre risque résiduel ? Qu'est-ce que cela signifie en termes commerciaux ? Quand serons-nous fait? Il est difficile de répondre à ces questions lorsque vous n’avez pas un contrôle total et que vous devez constamment réagir à l’environnement qui évolue sous vos pieds.
Imaginez un État dans lequel vous pouvez clairement définir et appliquer des contrôles d'identité fondamentaux : chaque administrateur est tenu de s'authentifier avec MFA, comptes de service Les utilisateurs sont limités à leur comportement habituel et approuvé, et tout accès est refusé par défaut, sauf autorisation explicite. Ces contrôles ne sont pas irréalistes : ils sont réalisables, applicables et, surtout, mesurables. Leur efficacité se reflète dans les menaces bloquées ou contenues avant qu'elles ne s'aggravent, établissant ainsi un lien direct entre contrôle et réduction des risques.
Ce qu’il faut, c’est un changement de mentalité et de technologie. Sécurité des identités v2 place la prévention des compromissions au cœur de ses préoccupations. Proactive, universelle et conçue pour gérer les risques d'identité sans entraver l'activité de l'entreprise, elle permet de gérer l'identité non pas comme une simple considération, mais comme un point de contrôle.
Ce changement est urgent. Une véritable tempête se prépare autour d'hypothèses dépassées sur le rôle de l'identité dans la sécurité, du manque d'outils modernes permettant un contrôle en temps réel et de la complexité croissante des environnements cloud, SaaS et hybrides. L'ensemble de ces forces appelle une nouvelle approche, qui nous permet de contrôler maintenant, partout où cela compte, et d'affiner plus tard.
Nous ne pouvons pas nous permettre d'attendre. Le coût de l'inaction est clairement inscrit dans rapports de violation et les identifiants volés s'accumulent de jour en jour.
Pourquoi l’identité est différente et pourquoi cela est important
L'identité se distingue des autres domaines de la sécurité. Contrairement à la plupart des domaines de sécurité, l'identité est fondamentalement liée aux personnes. Même les identités non humaines, les comptes de service, les API et identités des machines reflètent en fin de compte les décisions humaines prises par les développeurs, les administrateurs ou les propriétaires de plateformes.
Les identités sont uniques car elles sont étroitement liées aux activités quotidiennes d'une organisation. Elles influencent la manière dont les individus accèdent aux outils, collaborent et accomplissent leurs tâches, et surtout, leur ressenti.
L’identité a toujours été financée pour deux raisons :
1. Comment pouvons-nous intégrer rapidement les nouveaux arrivants et faire protocoles d'authentification sans couture pour tout le monde ?
2. Comment pouvons-nous répondre aux exigences de conformité et éviter des violations coûteuses ?
Aujourd’hui, un troisième moteur, fondamentalement différent, est apparu : Comment pouvons-nous nous défendre contre les menaces basées sur l’identité ? Cela nécessite de nouvelles compétences et un nouvel état d’esprit qui ne sont pas toujours en phase avec les objectifs traditionnels d’efficacité ou de conformité.
Dans de nombreux cas, l'efficacité s'accompagne d'une augmentation des risques, et un accès surprovisionné en est une conséquence courante. Le périmètre de la conformité est étroit et approfondi, tandis que la sécurité exige une visibilité et un contrôle étendus et en temps réel. Face à ces priorités concurrentes, les équipes d'identité doivent évoluer vers des équipes de sécurité des identités dotées d'un nouveau mandat et d'outils dédiés.
Dans la plupart des domaines de la sécurité, cette évolution est déjà bien établie : les équipes réseau, terminaux et cloud collaborent avec leurs homologues spécialisés en sécurité, avec l'aide d'outils dédiés. Mais dans le domaine de l'identité, ce modèle fait souvent défaut. Les équipes gérant des systèmes tels que Active Directory, Entrée, ou Okta sont rarement associés à des équipes de sécurité dédiées, elles-mêmes dotées de technologies spécialisées. Elles manquent souvent des outils nécessaires pour adopter une approche véritablement axée sur la sécurité.
Pour faire face aux menaces actuelles, cela doit changer.
Pourquoi les outils de sécurité d’identité actuels ne suffisent pas
La sécurité des identités n’ayant pas évolué au niveau organisationnel, la technologie a également pris du retard, notamment par rapport aux autres disciplines de sécurité.
Prenons l'exemple de la sécurité réseau. Les outils modernes n'offrent pas seulement une visibilité ; ils servent de plan de contrôle universel qui applique des garde-fous à l'ensemble de l'environnement. Les équipes de sécurité peuvent définir et appliquer proactivement des politiques de sécurité pour contrôler les risques et réagir en temps réel aux menaces. Ces contrôles sont appliqués de manière cohérente, garantissant qu'aucune partie du réseau ne fonctionne en dehors du cadre de sécurité de l'organisation.
L’identité n’a pas connu la même évolution.
Les outils de sécurité d’identité actuels se répartissent en trois catégories :
- Outils qui traitent l'identité comme un ensemble de vulnérabilités à corriger (par exemple, mots de passe faibles, privilèges excessifs, comptes orphelins)
- Outils qui isolent les comptes à risque (par exemple, le stockage via PAM)
- Outils qui tentent de détecter les menaces basées sur l'identité et d'y répondre (par exemple, ITDR)
Les solutions sont fragmentées, se concentrant uniquement sur les plateformes cloud, SaaS ou d'identité native, et sont souvent mises en œuvre en silos. Par conséquent, les attaquants peuvent facilement exploiter ces failles.
Plus grave encore, ces outils ne permettent pas aux équipes de sécurité des identités de maîtriser les risques. Ils les obligent à réagir, à traquer les menaces, à intervenir après coup et à mettre en place des contrôles en fonction des événements.
Dans les environnements plus complexes d'aujourd'hui, ce modèle est tout simplement inefficace. Traiter l'identité comme une liste d'éléments à corriger signifie que l'exposition persiste jusqu'à ce que tout soit parfaitement corrigé, ce qu'aucune organisation ne peut raisonnablement accomplir.
Il est possible de réduire l'exposition en verrouillant les comptes à haut risque. Cependant, ce processus est généralement complexe, dégrade l'expérience utilisateur et n'est pas évolutif. Cette approche exige la perfection : une visibilité parfaite, une exécution parfaite et une couverture complète de tous les systèmes critiques. Aucune entreprise ne peut honnêtement prétendre y être parvenue.
Résoudre les problèmes de compromission de comptes nécessite plus qu'une simple solution. Il faut une nouvelle technologie de sécurité des identités, qui offre aux équipes un réel contrôle, comble les failles de manière proactive et vous donne les clés du succès.
Comment prendre le contrôle ?
Aujourd'hui, l'authentification n'est pas conçue avec la sécurité comme objectif principal. Lors de la conception des réseaux, la sécurité est au cœur de nos préoccupations. Pare-feu, segmentation et contrôles sont conçus pour limiter le rayon d'action et contenir les menaces. Un réseau sans contrôles de sécurité intégrés serait inacceptable. Pourtant, l'authentification est généralement conçue pour garantir la disponibilité et la disponibilité. La priorité est opérationnelle : les utilisateurs pourront-ils se connecter en cas de besoin ? Les systèmes resteront-ils opérationnels pour soutenir l'activité ? Cet état d'esprit reflète l'héritage de l'identité en tant que catalyseur d'activité, et non comme un contrôle de sécurité.
Mais pourquoi l’authentification n’est-elle pas conçue en fonction de la sécurité ?
Pourquoi ne pas partir d'une position de refus par défaut et Appliquer des contrôles de sécurité pour faire respecter les normes de sécurité en fonction de notre appétence au risque ? Ainsi, le rayon d'explosion sera réduit et le risque de compromission des comptes sera réduit.
Imaginez si ces politiques étaient par défaut :
- Exiger l'authentification multifacteur pour tous accès aux infrastructures sensibles
- Refuser toute connexion ne provenant pas de sources fiables
- Bloquer l'authentification à l'aide de protocoles hérités ou non sécurisés
Lorsque nous abordons l'identité avec cet état d'esprit, la donne change. Les risques de sécurité deviennent moins urgents, car l'environnement est contrôlé dès la conception. Il est désormais plus facile d'expliquer les risques aux dirigeants, non pas parce que les problèmes ont disparu, mais parce que nous avons pris en charge la protection de l'identité.
Cela vous donne le l'espace et le temps que vous devez moderniser votre paysage identitaire tout en gardant le contrôle du risque à chaque étape du processus— qu'il s'agisse d'adopter des identifiants éphémères, de passer à un privilège zéro ou de repenser la manière dont l'accès est accordé.