Rubrik Zero Labs affirme que la montée des attaques basées sur l’identité « change le visage de la cyberdéfense ».
Une nouvelle étude publiée jeudi par Rubrik Zero Labs révèle que la vague de l’IA, et en particulier de l’IA agentique, a créé un « écart troublant entre la surface croissante des attaques d’identité et la capacité des organisations à se remettre des compromissions qui en résultent ».
Selon le rapport, le résultat est une montée en puissance des identités non humaines (NHI) et des identités agentiques.
Principales conclusions révélées :
- 89 % des organisations ont « intégré totalement ou partiellement des agents d’IA dans leur infrastructure d’identité, et 10 % supplémentaires envisagent de le faire ».
- Parmi les personnes interrogées, 58 % estiment qu’au cours des 12 prochains mois, la moitié ou plus des cyberattaques auxquelles elles devront faire face seront « pilotées par l’IA agentique ».
- Les rapports de l’industrie affirment que les NHI sont désormais 82 fois plus nombreux que les utilisateurs humains.
En outre, selon un communiqué de Rubrik, à mesure que les organisations intègrent des agents dans leurs flux de travail, l’augmentation des NHI continuera à dépasser la croissance des identités humaines, et leur sécurisation « deviendra aussi essentielle – sinon plus – que la sécurisation des identités humaines ».
En outre, selon les auteurs du rapport, « à mesure que les frontières traditionnelles des réseaux se sont dissoutes au milieu des migrations vers le cloud, de l’adoption du travail à distance et désormais de l’IA agentique, l’identité n’est plus simplement une couche de contrôle. Elle est devenue la principale surface d’attaque, que les acteurs malveillants utilisent comme arme pour accéder aux environnements informatiques et « vivre de la terre » au cours d’une attaque. «
L’écrasante majorité des violations actuelles, écrivent-ils, reposent sur l’exploitation de la confiance et d’informations d’identification valides plutôt que sur le contournement des défenses du réseau.
« Une crise invisible existe
Kavitha Mariappan, responsable de la transformation chez Rubrik, a déclaré : « La montée des attaques basées sur l’identité change le visage de la cyberdéfense. La gestion des identités à l’ère de l’IA est devenue une entreprise complexe, en particulier avec le labyrinthe des NHI. Nous sommes confrontés à une crise sous le radar où un seul identifiant compromis peut accorder un accès complet aux données les plus sensibles d’une organisation. «
Elle a ajouté : « une résilience globale des identités est absolument essentielle à la cyber-reprise dans ce nouveau paysage ».
Les acteurs de la menace « exploitent massivement des informations d’identification fiables et valides pour entrer, et non par effraction », a expliqué Mariappan. « Ces attaques sont encore compliquées par le labyrinthe d’identités non humaines, comme les clés API et les agents IA, qui se multiplient dans l’entreprise et s’avèrent difficiles à gérer. Contrairement aux identités humaines, ces NHI peuvent être difficiles à révoquer et passent souvent entre les mailles du filet, conduisant à une mauvaise gouvernance du cycle de vie. »
David Shipley, responsable de la société canadienne de formation en sensibilisation à la sécurité Beauceron Security, a déclaré qu’il était d’accord avec les conclusions du rapport pour une raison clé : « (Alors que) le phishing et l’ingénierie sociale en général sont le point de départ des attaques, les pratiques de gestion des identités et des accès (IAM) sont le point où le feu gronde. »
Les organisations, a-t-il déclaré, « ont besoin d’approches modernes en matière d’IAM et de cyberéducation et d’engagement des employés. La formation des employés ne les aide pas seulement à détecter et à arrêter les menaces, elle peut également les aider à comprendre pourquoi une bonne technologie de traitement IAM est nécessaire ».
Il a souligné : « (il y a) une raison pour laquelle la gestion des identités et des accès est le fondement d’un programme de sécurité. Lorsqu’elle est mal faite, les impacts se répercutent dans toute l’organisation lors d’une attaque. «
Shipley a déclaré qu’il disait souvent à ses clients : « IAM est le bas de l’équivalent cybernétique de la hiérarchie des besoins de Maslow. Là où les humains ont besoin de nourriture et d’un abri pour survivre, les systèmes numériques ont besoin de solides pratiques IAM pour survivre. »
« Dans le cadre de notre travail à travers le monde, nous avons constaté qu’à mesure que les organisations deviennent plus grandes et plus complexes, il est de plus en plus probable qu’elles rencontrent d’énormes problèmes de gestion des identités », a-t-il déclaré. « Ce n’est pas le genre de problème que la technologie seule peut résoudre, quel que soit le fournisseur. Il faut comprendre les personnes, les processus, la culture et la technologie. »
L’IA agentique « comme un bâton de dynamite jeté dans un étang à poissons »
Par exemple, a déclaré Shipley, « peu importe l’outil IAM basé sur l’IA dont vous disposez si vous autorisez les gens à contourner les processus pour accorder, supprimer ou modifier l’accès, car le processus d’approbation est (considéré) comme trop lent ou fastidieux. »
La chose la moins appréciée à trouver lorsque vous enquêtez sur un cyberincident, a-t-il déclaré, « c’est l’impossibilité de savoir qui a fait quoi parce qu’il n’y a rien dans les journaux. Le deuxième pire est de trouver un tas d’identités dont personne ne sait comment elles sont arrivées là ni comment elles ont eu l’accès qu’elles ont obtenu. »
Shipley a décrit l’IA agentique comme « essentiellement un bâton de dynamite jeté dans un étang à poissons lorsqu’il s’agit d’identité, et les résultats sont les mêmes. Si les organisations ne peuvent pas dire si un humain ou leur agent a effectué un ensemble d’actions, elles ne peuvent pas comprendre correctement s’il s’agit d’une vulnérabilité logicielle, d’un problème de sensibilisation ou de motivation des employés en matière de sécurité, ou pire encore, d’une menace interne ».
Pire encore, dit-il, « tout le concept de confiance zéro vient d’être anéanti. Les agents comptent sur une énorme confiance et, franchement, ils ne l’ont pas méritée et ont fait tout ce qu’ils pouvaient pour montrer qu’on ne devrait pas leur faire confiance. Des hallucinations aux détournements d’avions, cette technologie n’est pas prête à être utilisée aux heures de grande écoute. »
Thomas Randall, responsable de la recherche chez Info-Tech Research Group, a ajouté que la majeure partie du rapport Rubrik Zero Labs « valide ce que l’industrie sait déjà. Pendant des années, la recherche d’Info-Tech a montré que l’identité est une surface d’attaque privilégiée, que la confiance zéro/le moindre privilège/la vérification continue sont les meilleures pratiques et qu’une formation en sécurité est impérative. »
Surface d’attaque augmentée considérablement
Il a déclaré que deux éléments lui paraissaient remarquables : « Le premier est de relier les identités humaines et non humaines sous un seul parapluie ; généralement, nous pouvons les comprendre dans des domaines distincts de gestion des secrets IAM et DevOps, respectivement. Le point du rapport est que les attaquants ne respectent pas les limites de ces organigrammes, les équipes de sécurité doivent donc également penser au-delà de ces limites. «
Cependant, a déclaré Randall, « ce cadre néglige le fait que ces identités sont opérationnellement différentes. Bien qu’elles authentifient et autorisent, les outils, la télémétrie, le RACI et les modèles de risque diffèrent. Un seul « plan d’identité » peut être l’objectif conceptuellement, mais en pratique, il est difficile à mettre en œuvre dans ces écosystèmes divergents. «
Le deuxième élément est, dit-il, « l’affirmation brutale selon laquelle les identités non humaines sont désormais plus nombreuses que les utilisateurs humains dans une proportion d’environ 82 : 1. À mesure que les organisations commencent à développer davantage d’agents d’IA (surtout si les individus ont carte blanche pour développer leurs propres copilotes ou GPT), la surface d’attaque augmente considérablement. »
Randall a noté : » Chaque copilote ou GPT peut détenir des clés API, des jetons OAuth ou des autorisations déléguées (par exemple, » lire des documents SharePoint, interroger des données CRM, envoyer des e-mails. « ). C’est certainement là que je pense que les organisations doivent s’inquiéter : l’écart entre le déploiement de l’IA agentique et la gouvernance de l’IA se creuse de plus en plus. «
Les organisations, a-t-il déclaré, « doivent être disciplinées dans le contrôle de la création d’agents, de l’accréditation et de la gestion du cycle de vie ; sinon, la surface d’attaque risque d’augmenter considérablement ». Les responsables de la sécurité doivent comprendre que les outils IAM à eux seuls ne les protégeront pas ou ne les aideront pas à restaurer l’intégrité de leur infrastructure d’identité en cas de compromission, a-t-il ajouté.
En outre, a déclaré Mariappan, ils doivent également comprendre que les outils IAM à eux seuls ne les protégeront pas ou ne les aideront pas à restaurer l’intégrité de leur infrastructure d’identité en cas de compromission.
En fait, a-t-elle déclaré, « alors que 87 % des responsables informatiques et de la sécurité envisagent de changer de fournisseur IAM, 60 % ont déjà changé de fournisseur au cours des trois dernières années, ce qui témoigne du mécontentement du secteur à l’égard des solutions actuelles pour lutter contre les menaces basées sur l’identité. Notre recherche révèle qu’une stratégie globale de résilience des identités est nécessaire lorsque, et non si, une attaque survient. »
