L’ITDR, Identity Threat Detection & Response, est une nouvelle approche visant à mieux sécuriser les identités numériques de l’entreprise. Pourquoi cette nouvelle approche est elle aujourd’hui essentielle, quelle est sa place dans l’arsenal cyber défensif des organisations et comment la mettre en oeuvre ? On vous dit tout…
Près de 90 % des entreprises ont signalé une faille de sécurité liée à l’identité au cours des 12 derniers mois (d’après un rapport récent de l’Identity Defined Security Alliance, IDSA). Face à l’augmentation des attaques liées à l’identité, une nouvelle approche s’impose.
Les menaces liées à l’identité ciblent précisément les identités numériques des individus et l’infrastructure d’identité des entreprises.
La croissance de ce type de cyberattaque va de pair avec l’augmentation du nombre d’identités numériques. Le nombre d’identifiants dérobés disponibles à la vente sur le dark web a dépassé les 24 milliards au cours de cette période, ce qui représente, trois identifiants par être humain sur la planète. Malheureusement, personne n’est à l’abri de cette menace. De plus, selon le Dark Web Price Index, il est possible d’obtenir des informations d’identification pour moins d’un euro.
Ces chiffres alarmants indiquent clairement qu’une nouvelle approche est nécessaire pour lutter contre la prolifération des attaques liées à l’identité.
Qu’est-ce que l’Identity Threat Detection & Response (ITDR) ?
L’ITDR, ou détection et réponse aux menaces liées à l’identité, est une discipline de sécurité qui vise à protéger les systèmes d’identité. Cette stratégie est apparue en 2022 dans une proposition du cabinet Gartner à la suite d’une série d’attaques contre les infrastructures IAM (Gestion des identités et des accès). Elle englobe les renseignements sur les menaces, des bonnes pratiques, une base de connaissances, des outils et des méthodes.
L’objectif de l’ITDR est d’améliorer la sécurité des infrastructures axées sur l’identité en détectant, en analysant, en mettant en quarantaine et en éliminant ou en atténuant les activités suspectes qui ciblent les systèmes d’identité, ainsi qu’en identifiant les vulnérabilités sur la surface d’attaque avant qu’une menace ne se produise. Cette approche peut être mise en œuvre dans le cadre d’une stratégie XDR.
Comment mettre en œuvre une stratégie ITDR dans votre entreprise ?
Les étapes suivantes vous aideront à mettre en œuvre une stratégie et un programme ITDR efficaces au sein de votre entreprise :
1- Définir les lignes directrices de votre entreprise en matière de gestion des identités et des accès (IAM) : Tout d’abord, vous devez identifier les objectifs de votre entreprise en matière de sécurité de l’identité, ainsi que les politiques et procédures nécessaires pour les atteindre.
2- Mettre en place la sécurité des identités: Les mesures de contrôle peuvent inclure des gestionnaires de mots de passe, l’authentification multi-facteurs, l’authentification unique sur le web et des politiques de vérification systématique fondées sur le risque. Notez qu’avant même d’élaborer une stratégie ITDR, il est conseillé de mettre en œuvre des contrôles de sécurité des identités pour protéger les identités des utilisateurs.
3- Définir des contrôles de détection : Ces contrôles permettent d’identifier les activités suspectes liées à l’identité. Ils permettent notamment de contrôler la configuration des systèmes IAM, de surveiller l’activité des utilisateurs liée à leur identité, de surveiller les informations d’identification sur le dark web, de détecter les anomalies dans les modèles de comportement habituels des utilisateurs, de classer le profil de risque de différents individus ou événements, et d’émettre des alertes en temps réel.
4- Mettre en place des contrôles de réponse : Ces contrôles prévoient des mesures telles que l’isolement et la désactivation de la synchronisation entre les systèmes, la collecte d’informations pour étudier la gravité de la menace, la restauration des informations d’identification compromises et le blocage des comptes ou des adresses IP suspects. Elles visent également à restaurer les données à partir de sauvegardes, à enregistrer la gestion des accès et à prendre des mesures correctives après un événement, telles que la suppression des comptes frauduleux, des autorisations excessives et la mise en place de correctifs sur les systèmes.
L’ITDR constitue l’avenir de la sécurité de l’identité numérique ; c’est pourquoi les entreprises devraient orienter de plus en plus leurs efforts sur ce domaine afin de renforcer la gestion des identités et des accès. Comme l’EPDR (Endpoint Protection Detection & Response), le MDR (Managed Detection & Response) et le NDR (Network Detection & Response), l’ITDR fait partie intégrante d’une stratégie XDR (eXtended Detection & Response), qui est aujourd’hui l’approche de cybersécurité la plus complète et optimale.
____________________________
Par Pascal Le Digol, Country Manager France, WatchGuard Technologies
puis