Les principaux risques de gestion des identités et des accès

L'accès sur-privilégié reste l'un des plus grands risques

Les utilisateurs, les administrateurs, les comptes de service et les rôles cloud accumulent souvent des autorisations au fil du temps qui dépassent de loin leurs besoins. Les organisations accordent fréquemment un accès large au nom de la productivité ; elles ne réexaminent ou ne suppriment pas ces privilèges plus tard.

Dans les environnements cloud, ce problème est particulièrement dangereux. Un seul rôle IAM sur-privilégié dans AWS ou Azure pourrait donner accès à des magasins de données sensibles, à des API administratives, au provisionnement d'infrastructure ou aux systèmes de CI/CD. De même, des permissions excessives dans des plateformes SaaS telles que Microsoft 365, Salesforce, ServiceNow, GitHub ou Slack peuvent exposer des données commerciales sensibles et des flux de travail opérationnels.

Le risque est amplifié car les attaquants ciblent de plus en plus les identités plutôt que l'infrastructure. Une fois qu'un attaquant compromet une identité privilégiée, il peut souvent opérer au sein de l'environnement en utilisant des API légitimes et des workflows de confiance, ce qui rend la détection significativement plus difficile.

Les organisations devraient donner la priorité à l'accès au moindre privilège, aux revues de rôles, à la gouvernance des droits et aux processus périodiques de recertification des accès. Les programmes IAM modernes doivent étendre ces contrôles au-delà des systèmes d'annuaire traditionnels pour inclure également les environnements cloud natifs et SaaS.

Les identités non-humaines sont devenues une surface d'attaque majeure

Un développement IAM significatif ces dernières années est l'augmentation substantielle du nombre d'identités non-humaine (NHI, pour Non Human Identity). Celles-ci recouvrent les comptes de service, les clés API, les jetons OAuth, les identités de traitement cloud, les conteneurs, les fonctions serverless, les certificats, les comptes d'automatisation des processus robotiques et les agents d'IA. Dans de nombreuses organisations, le nombre de NHI dépassent de loin celui des identités humaines.

Le défi est que la plupart des programmes IAM ont été initialement conçus autour des employés et des contractuels, et non des charges de travail autonomes fonctionnant en continu à travers les environnements cloud et SaaS. Par conséquent, de nombreuses NHI sont mal gérées, sur-privilégiées, non surveillées ou utilisent des identifiants à longue durée de vie qui ne sont que rarement renouvelés.

Ceci crée un risque important. Un jeton API ou un rôle de service cloud compromis peut fournir un accès direct aux systèmes de production, aux données sensibles ou aux pipelines de déploiement. Les attaquants ciblent de plus en plus ces identités car elles contournent souvent l'authentification multifacteur (MFA) traditionnelle et les contrôles de surveillance axés sur l'utilisateur.

Pour sécuriser les NHI, les programmes IAM modernes devraient prévoir :

• Un inventaire complet et un suivi de la propriété des NHI.
• Un renouvellement automatisé des identifiants et des jetons à courte durée de vie.
• La fédération des identités de workflows lorsque c'est possible.
• L'accès au moindre privilège pour les comptes de service et les API.
• La surveillance du comportement anormal des identités de workflows.
• Des modèles de gouvernance séparés pour les identités humaines et machine.

La sécurité des NHI devient rapidement l'un des domaines les plus importants de l'IAM, en particulier à mesure que les organisations étendent leur utilisation des services cloud et d'IA.

La prolifération des identités SaaS crée des défis de gouvernance

La plupart des entreprises gèrent désormais des centaines, voire des milliers, d'applications SaaS. Beaucoup de ces plateformes maintiennent leurs propres référentiels d'identité, rôles, permissions et méthodes d'authentification.

Avec le temps, les organisations perdent de la visibilité sur qui a accès à quoi, surtout lorsque des unités métiers individuelles adoptent des applications sans surveillance centralisée.

Cette prolifération des identités SaaS crée plusieurs risques :

• Les anciens employés conservent l'accès aux applications.
• Des intégrations OAuth tierces excessives.
• L'utilisation de Shadow IT et des SaaS non gérés.
• Une application faible de la MFA sur les plateformes.
• Une journalisation et une surveillance incohérentes.
• Des privilèges administratifs excessifs dans les outils SaaS.

Les attaquants comprennent que les applications SaaS contiennent souvent des données métiers précieuses, y compris la propriété intellectuelle, des informations financières, des dossiers clients, des données de collaboration et du code source. Les attaques ciblent de plus en plus les plateformes SaaS car les identités et les sessions sont désormais plus faciles à exploiter à grande échelle.

Pour y remédier, les organisations devraient donner la priorité à la gestion de la posture de sécurité SaaS, à la fédération centralisée des identités, à l'application d'un accès conditionnel et à la surveillance continue des changements de privilèges et des octrois OAuth dans les SaaS.

Les deepfakes pilotés par l'IA et l'usurpation d'identité sont des menaces croissantes

L'un des risques IAM les plus récents est l'utilisation des technologies GenAI et deepfake pour usurper l'identité des employés, des cadres, des administrateurs du service d'assistance ou des partenaires commerciaux. Avec relativement peu d'effort, les attaquants peuvent générer des usurpations convaincantes basées sur la voix, la vidéo et le texte pour :

• Tromper le service d'assistance afin de réinitialiser un mot de passe pour un compte d'employé ou de cadre privilégié.
• Demander illégalement des réinitialisations de MFA en usurpant l'identité d'employés qui prétendent avoir perdu ou remplacé des appareils.
• Usurper l'identité de cadres dans des communications financières, juridiques ou opérationnelles urgentes.
• Contourner les systèmes d'authentification vocale utilisés dans les banques, le service client ou les workflows de vérification interne.
• Mener des campagnes d'hameçonnage par courriel d'entreprise en utilisant une voix ou une vidéo synthétiques pour renforcer la légitimité.
• S'infiltrer dans les workflow de paiement des fournisseurs impliquant des approbations de factures frauduleuses ou des demandes de virement.

L'ingénierie sociale et le phishing assistés par deepfake sont particulièrement dangereux car ils ciblent la couche de confiance humaine des processus IAM plutôt que les systèmes techniques. Les organisations qui dépendent fortement de la reconnaissance vocale ou de procédures de vérification faibles pourraient trouver ces attaques de plus en plus difficiles à détecter.

Les équipes de sécurité devraient réexaminer tous les workflow de récupération et de réinitialisation d'identité à haut risque. Une preuve d'identité plus solide, une MFA résistante au phishing, des procédures de vérification par rappel, des approbations d'accès privilégié et des contrôles d'authentification basés sur les risques deviennent essentiels.

Le service d'assistance lui-même devient de plus en plus une fonction sensible à la sécurité et doit être traité comme faisant partie de la surface d'attaque d'identité de l'organisation. Meta l'a récemment illustré.

Les attaques centrées sur l'identité fournissent des points d'entrée efficaces

Les attaques basées sur l'identité restent l'un des vecteurs d'accès initiaux les plus courants aux violations. Les identifiants volés, le détournement de session, le vol de jetons, le contournement de la MFA et les identités fédérées compromises continuent de provoquer des incidents majeurs dans toutes les industries.

Les attaquants préfèrent ces méthodes car elles sont efficaces et contournent souvent les défenses périmétriques traditionnelles. Dans les environnements cloud en particulier, des identifiants valides peuvent fournir un accès direct à des ressources sensibles sans nécessiter de logiciels malveillants ou de chaînes d'exploitation.

Cette tendance renforce le besoin de MFA résistante au phishing, de politiques d'accès conditionnel, de validation continue des sessions, de détection et réponse aux menaces d'identité, de validation de la confiance des appareils, de surveillance des voyages impossibles et des comportements anormaux, ainsi que de protection des jetons de session.

L'IAM moderne exige de plus en plus une évaluation continue du risque d'identité tout au long d'une session, et non seulement lors de la connexion, conformément aux pratiques de confiance zéro.

Une gouvernance d'identité faible cause toujours d'importants problèmes

Malgré les avancées dans la technologie IAM, les organisations peinent encore avec les fondamentaux de la gouvernance, tels que les comptes orphelins, le délai de déprovisionnement, l'explosion des rôles, l'accès administratif excessif, les workflows d'approbation incohérents et le manque de propriété des identités et des droits.

Ces problèmes deviennent encore plus difficiles dans les environnements hybrides, où les identités s'étendent sur les systèmes sur site, l'infrastructure cloud, les plateformes SaaS, les contractuels et les identités machines. L'IA et l'automatisation peuvent améliorer les processus de gouvernance, mais elles augmentent la complexité si les organisations les déploient sans une surveillance solide. Les systèmes autonomes et les agents d'IA peuvent demander ou hériter de permissions dynamiquement, créant de nouveaux défis de gouvernance concernant la délégation, la responsabilité et l'auditabilité.

Les DSI et leurs organisations devraient se concentrer sur la mise en place de programmes de gouvernance des identités qui mettent l'accent sur des contrôles plus progressifs, tels que l'accès privilégié juste-à-temps, les revues d'accès continues et le déprovisionnement automatisé. Même avec ces contrôles, de nombreux programmes IAM modernes échoueront sans une gestion du cycle de vie solide et des politiques, une propriété et une responsabilité d'identité à l'échelle de l'entreprise, et un engagement envers une gouvernance des droits basée sur les risques sur toutes les plateformes et systèmes.

Bien que le moindre privilège, une authentification forte, la gestion du cycle de vie, la gouvernance et la surveillance restent importants, ces fondamentaux ne suffisent pas. Les programmes IAM doivent évoluer de systèmes d'authentification statiques vers des plateformes continues de confiance et de vérification. Les organisations qui continuent de traiter l'IAM comme un problème de gestion d'annuaire auront du mal à suivre le rythme des menaces modernes.

Dave Shackleford est fondateur et consultant principal chez Voodoo Security, ainsi qu'analyste, instructeur et auteur de cours SANS, et directeur technique GIAC.