Deloitte et apexanalytix partagent leurs points de vue sur les complexités de la mise en œuvre de systèmes de sécurité des identités.
Identifier et sécuriser la propriété des actifs peut être une tâche difficile. Outre l’authentification multifacteur, l’accès conditionnel et privilégié peut aider les organisations à fermer les écoutilles. Mais l’introduction des technologies d’IA ajoute souvent un cauchemar de complexité.
« Cela (l’utilisation des technologies d’IA) a constitué un énorme défi pour les organisations, car la gestion des politiques, la gestion de la conformité et la sécurité touchent chaque application et chaque système », déclare Naresh Persaud, responsable américain de la cyberidentité numérique et du plan de cyberIA chez Deloitte.
Les clients industriels et financiers de Deloitte gagnent du temps grâce au produit d’identité du cabinet de conseil
Récemment, Deloitte a travaillé avec un grand client industriel après avoir constaté que la propriété des comptes n’était parfois pas claire dans son système existant. Lorsqu’un événement de point de terminaison était identifié, il était difficile de savoir à qui appartenait le compte ciblé et s’il existait sous plusieurs noms.
« Avec les systèmes de gestion des identités, nous pouvons lier l’utilisateur nommé de ce compte et en même temps nous pouvons identifier si le compte a été sauvegardé dans une identité dans le système de gestion des accès privilégiés », explique Persaud.
Le système identifie également tous les autres comptes associés à un utilisateur afin qu’ils puissent eux aussi être examinés à la recherche de toute preuve d’intrusion. Persaud appelle cela le rayon de l’explosion.
« Si je compromet un compte privilégié, je pourrai peut-être utiliser ce compte pour réinitialiser le mot de passe d’autres comptes », dit-il. « Identifier immédiatement le rayon de l’explosion, déterminer une réponse appropriée et intégrer ces informations dans l’alerte – cela donne à l’analyste du centre des opérations de sécurité une télémétrie bien meilleure qu’auparavant. »
Le système a permis de relier les pièces du puzzle qui, autrement, auraient dû être réalisées manuellement. L’analyste de sécurité qui a signalé le problème aurait dû contacter un administrateur du système d’identité – un processus inefficace, même dans les opérations les plus bien huilées. L’identification de ces points de contact et l’automatisation du processus de communication ont permis une réponse beaucoup plus efficace.
Il faut souvent du temps pour tenter de mapper les données liées à un incident au framework MITRE ATT&CK, par exemple. L’analyse du secteur suggère que cela peut prendre jusqu’à 30 minutes. « Grâce à l’IA, un analyste peut réduire considérablement ce temps, jusqu’à 70 à 80 % », explique Persaud.
Persaud affirme que la solution Deloitte a pu simplifier la documentation. Il a créé un tableau de bord identifiant les comptes associés qui n’étaient pas mis dans le coffre-fort et permettant un examen plus approfondi des comptes privilégiés. Les comptes non protégés pourraient être rapidement protégés et toute vulnérabilité des comptes privilégiés pourrait être identifiée et corrigée. Cela a permis d’obtenir un niveau de précision plus élevé dans la manière dont le client assure la sécurité aujourd’hui par rapport à avant.
Deloitte a également travaillé avec un client de services financiers confronté à un problème de visibilité similaire.
« Il est difficile pour de nombreuses organisations d’avoir une idée complète de ce que sont leurs actifs et des contrôles qui s’appliquent à ces actifs », explique Persaud. Il explique que la solution d’identité de Deloitte a aidé le client à connecter les utilisateurs aux actifs qu’ils utilisaient. En découvrant ces actifs, ils ont pu affiner les contrôles de sécurité appliqués à chacun d’entre eux de manière plus raffinée.
« Si le système doit (traiter) des données financières et d’autres informations privées, nous devons mettre en place les contrôles appropriés du côté de l’identité », dit-il. « Nous avons réussi à réunir ces deux éléments en corrélant la découverte des actifs avec la découverte de l’identité et en alignant cela avec les contrôles du système de gestion des actifs informatiques. »
En conséquence, les utilisateurs ont pu intégrer plus rapidement les applications.
Comment apexanalytix utilise Microsoft Azure pour gérer la sécurité des identités
« La protection de l’identité est l’un des contrôles critiques pour toute organisation en termes de protection des actifs numériques », déclare Vishal Grover, CIO du fournisseur de plateforme de gestion de la chaîne d’approvisionnement apexanalytix. « Mais il est important de maintenir un équilibre entre les restrictions et les exigences commerciales. »
Apexanalytics utilise des produits Microsoft, tels que Defender, depuis plus d’une décennie. « Au départ, nous l’utilisions principalement pour les antivirus. Puis une protection avancée contre les menaces est entrée en scène. Puis la protection de l’identité. Nous avons continué à ajouter plus de contrôles et plus de validations pour renforcer l’ensemble de la posture de sécurité », explique-t-il.
L’entreprise est particulièrement préoccupée par le risque accru d’identité à mesure qu’elle étend sa présence internationale, notamment en ouvrant des bureaux à Hong Kong en 2016 et en Arabie Saoudite en 2024. À mesure que les bureaux interagissent et que les employés se déplacent vers d’autres sites, il est crucial que tout accès à ses systèmes soit vérifié comme étant légitime.
Leur équipe de sécurité a déployé Azure Active Directory (AAD) pour vérifier les limites géographiques, c’est-à-dire les emplacements à partir desquels les employés pourraient raisonnablement accéder à leurs systèmes. Par exemple, si un employé basé aux États-Unis qui voyage rarement tente de se connecter depuis un endroit éloigné où il est peu probable qu’il se trouve, un signal d’alarme est immédiatement déclenché. À moins que la présence physique de l’utilisateur à cet endroit ne puisse être vérifiée, ses informations d’identification ont probablement été compromises.
« Du point de vue de l’utilisateur, chaque fois qu’une personne voyage en dehors de son emplacement de base, elle doit contacter les équipes informatiques et de sécurité pour indiquer son emplacement spécifique », note Grover. L’adoption de ces politiques nécessite des ajustements raisonnables du comportement des utilisateurs et de la politique de l’entreprise. Mais les récompenses sont substantielles.
« Si l’on considère la gestion des risques dans une perspective plus large, cela constitue un élément fondamental de notre modèle de sécurité », dit-il. La possibilité de suivre simplement l’emplacement des employés et d’attribuer les risques en conséquence constitue une avancée significative dans la surveillance des risques pour une entreprise qui développe sa présence internationale. L’entreprise surveille les cas de déplacement impossible, par exemple si un employé est entré dans le système à un endroit puis à un autre dans un endroit éloigné qu’il n’aurait pas pu atteindre pendant une période spécifiée, une alerte est déclenchée.
Les analystes de sécurité utilisent également le logiciel pour rechercher les connexions à risque. Si un utilisateur se connecte à partir d’une adresse IP qui a été mise sur liste noire, une alerte est déclenchée.
Ils s’appuient de plus en plus sur des politiques d’accès conditionnel qui reposent sur la surveillance du comportement des utilisateurs. Si un utilisateur passe généralement un temps moyen sur certaines applications et modifie ensuite radicalement son comportement, l’activité est signalée et fait l’objet d’une enquête.
La société continue d’évaluer ses politiques au moins une fois par trimestre afin de s’assurer qu’elles sont conformes à ses stratégies commerciales en évolution. Grover est convaincu que les capacités d’Azure sont à la hauteur, mais reste vigilant quant aux nouvelles vulnérabilités potentielles qui devront être corrigées.
