Quatre conférences Proofpoint Protect 2024 viennent d’avoir lieu. Pour ceux qui ne connaissent pas les événements Protect, il s’agit d’une conférence annuelle sur la sécurité qui réunit des clients, des prospects, des partenaires et des dizaines de collaborateurs Proofpoint dans des villes des États-Unis et à Londres. Lors de ces quatre conférences, j’ai eu l’opportunité de co-animer plusieurs sessions sur la nécessité de renforcer la sécurité des identités et sur la façon dont la solution Proofpoint Identity Protection peut y contribuer.
Mais je n’ai pas seulement partagé mes connaissances. J’en ai également beaucoup appris sur la détection et la neutralisation des menaces liées aux identités (ITDR) auprès des quelque 500 participants et de mes 11 co-animateurs lors de mes sept tables rondes. J’ai eu la chance de co-animer des sessions avec des professionnels de la sécurité de CyberArk, Toromont Cat, Turkcell, Tetra Pak et Darling Ingredients, ainsi qu’avec des membres de notre propre équipe de sécurité.
Sept points à retenir des événements Protect 2024
Les conférences Protect ont livré un grand nombre d’enseignements précieux, et je voudrais en partager quelques-uns avec vous.
1. L’ITDR suscite un vif intérêt
De toute évidence, l’amélioration de la sécurité des identités en général, et plus particulièrement des solutions de détection et de neutralisation des menaces liées aux identités (ITDR), connaît un intérêt croissant. Même si la plupart des participants ne possédait pas une expérience directe étendue de l’ITDR, leur envie d’apprendre a suscité un vif intérêt pour nos tables rondes centrées sur ce sujet. C’est la raison pour laquelle nous avons proposé sept sessions autour de l’ITDR lors des quatre conférences Protect.
2. Le milieu de la chaîne d’attaque est souvent peu connu
Le milieu de la chaîne d’attaque est intimement lié à la sécurité des identités, car c’est là où la persistance, la collecte d’informations, l’élévation de privilèges et le déplacement latéral se produisent. Malheureusement, les défenses de nombreuses entreprises présentent des failles majeures au niveau de cette partie centrale. Au début, cet aspect de la sécurité semblait flou dans les esprits de nombreux participants. Mais je pense que nos sessions leur ont permis de mieux comprendre son importance cruciale.
Je trouve que l’utilisation de la chaîne d’attaque comme cadre est un excellent moyen d’expliquer l’objectif de solutions ITDR telles que notre produit Proofpoint Identity Threat Defense. Avec ce cadre, il est plus facile pour les équipes de sécurité de déterminer les étapes exactes qu’un cybercriminel doit suivre et comment elles peuvent mieux se défendre contre les attaques.
Reconnaissance
Compromission initiale
Persistance
Collecte d’informations
Élévation des privilèges
Déplacement latéral
Implantation
Impact
Étapes de la chaîne d’attaque
3. Les leurres changent la donne
Le public a été captivé par notre discussion sur l’utilisation des leurres à des fins de détection et de neutralisation des menaces. Le concept de leurres a poussé les participants à réfléchir différemment à la façon de détecter et de neutraliser les menaces actives le plus efficacement possible. Depuis de nombreuses années, des entreprises essaient de détecter les menaces actives à l’aide d’approches basées sur les signatures et les comportements. Ces méthodes ont donné des résultats variables tout en nécessitant beaucoup de temps et d’argent. La réduction des faux positifs et des faux négatifs représente un défi de taille pour de nombreuses entreprises.
Les leurres perturbent les analyses de détection. Au lieu de traquer les cybercriminels en utilisant d’énormes volumes de données et en exécutant des analyses de détection optimisées, les leurres permettent à une entreprise de savoir quand un cybercriminel est présent et tente de se déplacer en son sein (au milieu de la chaîne d’attaque). Si les leurres n’ont pas encore été adoptés à grande échelle, ils ont encouragé le public de nos tables rondes Protect à réfléchir différemment à la détection et à la neutralisation des menaces.
4. L’intégrité d’AD est de plus en plus importante
Tout le monde le sait : Active Directory (AD) constitue une réelle menace pour la sécurité de toutes les entreprises qui l’utilisent. Les raisons sont sensiblement les mêmes partout. Pour commencer, de nombreuses personnes sont amenées à l’administrer au fil des années, et la plupart des entreprises n’ont pas de gouvernance AD complète. Parmi les autres raisons courantes, on peut citer les solutions rapides et à court terme, les projets ponctuels ou encore les fusions et acquisitions. Paradoxalement, AD peut désormais raisonnablement être considéré comme un outil clé pour les cybercriminels.
Compte tenu de tous les outils d’attaque disponibles pour exploiter automatiquement les erreurs de configuration et les expositions d’AD, est-il vraiment étonnant que l’ITDR suscite un intérêt croissant ? Cet intérêt s’explique en partie par la nécessité d’améliorer l’intégrité d’AD. Pour en savoir plus sur les défis liés à l’intégrité d’AD, consultez ce rapport récemment publié.
5. La MFA ne suffit pas
La prise de contrôle de comptes de fournisseurs d’identité SaaS, comme Microsoft Entra ID, Okta et Google, est de plus en plus reconnue comme un enjeu de sécurité majeur et une source majeure de compromission initiale. Pour que les cybercriminels puissent atteindre le milieu de la chaîne d’attaque, ils doivent effectuer une compromission initiale. De nombreux participants ont été surpris d’apprendre que la plupart des prises de contrôle détectées par Proofpoint concernaient des comptes pour lesquels une authentification multifacteur (MFA) était en place. Le principal point à retenir, c’est que la MFA est un bon début, mais que compte tenu des outils et techniques actuellement employés par les cybercriminels, elle ne suffit pas. Aujourd’hui, une défense en profondeur centrée sur les identités s’impose.
6. Il existe souvent des freins au renforcement de la sécurité
Comme vous le savez sans doute, de nombreuses entreprises sont mises au défi d’acquérir et de déployer de nouveaux contrôles de sécurité de tous types. Cela comprend l’ITDR. Chaque entreprise a ses limites, notamment en termes de personnel et de budgets. Ce n’est pas nouveau. La manière dont l’ITDR transforme la structure des entreprises de sécurité elles-mêmes et la gestion de la sécurité des identités est un sujet qui est revenu plusieurs fois au cœur des discussions.
La question de l’équipe qui devait prendre en charge le problème de la sécurité des identités — et donc la solution — a souvent été soulevée. Est-ce l’équipe SOC, les opérations informatiques, l’équipe de gestion des identités ou l’équipe de gestion des vulnérabilités ? La dure réalité, c’est que les lacunes au niveau de la prise en charge des problèmes par les entreprises sont l’un des principaux facteurs de compromissions majeures. Ces lacunes se traduisent par un manque de contrôles de la sécurité des identités, qui permet aux cybercriminels de passer au travers des défenses. Les entreprises disposant d’opérations de sécurité de pointe ont trouvé comment organiser et appliquer des solutions ITDR pour remédier au problème. Les autres doivent maintenant leur emboîter le pas.
7. Plusieurs éléments encouragent l’adoption de l’ITDR
Qu’est-ce qui pousse les entreprises à investir dans l’ITDR ? Pour la plupart d’entre elles, différentes forces extérieures entrent en jeu. Il peut s’agir des résultats d’exercices de simulation d’attaques ou de tests d’intrusion, de faiblesses identifiées lors d’un audit, d’un incident de sécurité, d’une compromission de l’entreprise ou d’une autre entreprise du secteur, ou même d’un RSSI animé par l’envie d’innover. Tous ces facteurs poussent les entreprises à sortir de leur zone de confort pour renforcer la sécurité de leurs identités et adopter une solution ITDR.
Conclusion
De toute évidence, la nécessité de renforcer la sécurité des identités est une préoccupation croissante pour un grand nombre de professionnels de la sécurité. Mes expériences lors des événements Protect 2024 ne reflètent que mon point de vue. Néanmoins, comme cela a été dit dans d’autres contextes, la première étape pour résoudre un problème est de reconnaître qu’il y en a un. Je pense que le secteur de la sécurité est en bonne voie de résoudre celui-ci.
Si vous souhaitez poursuivre cette discussion, rejoignez-moi ainsi que Carlos Rivera d’Info-Tech Research Group lors de notre prochain webinaire : « Sécurisation des identités : le rôle essentiel de la détection et de la neutralisation des menaces liées aux identités ».