Les principales lacunes cloud hybride dans les domaines de l'identité, cloud et du réseau

Les failles cloud hybride correspondent aux angles morts qui apparaissent entre les contrôles de sécurité spécifiques à chaque domaine lorsque les entreprises exploitent simultanément des infrastructures sur site,cloud, des plateformes SaaS et des systèmes d'identité. Les attaquants ne respectent pas les limites entre ces domaines ; ils se déplacent latéralement d'un domaine à l'autre, en utilisant des identifiants valides et des protocoles fiables pour rester cachés au sein d'environnements qui ont investi dans des outils endpoint, cloud, de l'identité et du réseau. Comprendre comment les attaques hybrides se déroulent concrètement à travers ces différentes couches constitue le point de départ pour combler ces failles.

Ce document explique où se situent les failles cloud hybride au niveau endpoint l'identité, cloud, au réseau et endpoint , comment les cyberattaquants modernes exploitent concrètement ces failles, et ce dont les équipes SOC, les analystes en sécurité et les RSSI ont besoin pour détecter les comportements des attaquants — notamment les mouvements latéraux, l'utilisation abusive des identifiants et l'escalade des privilèges — qui échappent aux outils spécialisés.

Les failles cloud hybride apparaissent là où les outils s'arrêtent aux limites des domaines

Les failles cloud hybride ne sont pas dues à une défaillance des outils individuels. Il s'agit d'une réalité architecturale qui apparaît lorsque des contrôles de sécurité optimisés pour un seul domaine, endpoint, cloud , la gestion des identités et des accès ou le périmètre réseau sont déployés dans des environnements où les attaquants évoluent librement d'un domaine à l'autre. Chaque outil remplit correctement sa fonction dans son domaine. La faille réside dans l'espace entre ces domaines, et c'est là que les attaquants modernes opèrent.

Les réseaux d'entreprise modernes englobent les centres de données sur site,cloud , les plateformes SaaS, les systèmes d'identité, les infrastructures IoT et OT, ainsi que les chaînes d'outils intégrant l'IA. Les attaquants qui parviennent à obtenir un accès initial ne restent pas cantonnés à un seul endroit. Ils se déplacent dans toutes les directions à travers ces domaines, se fondant dans le trafic légitime, exploitant des identités de confiance et passant d'un système à l'autre sans déclencher d'alerte dans aucun outil.

Il en résulte une matrice de couverture présentant des angles morts structurels : des outils cloud incapables de détecter le comportement des attaquants en temps réel, des contrôles d'identité qui s'arrêtent à la frontière de l'authentification, endpoint qui n'atteignent jamais cloud ou les plateformes SaaS, et des outils réseau qui analysent les signatures mais pas les intentions comportementales. Ces lacunes ne sont pas des cas marginaux, mais constituent les principales voies empruntées par les attaquants modernes.

Légende : ● Visibilité totale | ● Visibilité partielle | ○ Aucune visibilité

Les quatre points d'entrée que les pirates exploitent entre vos outils

Les failles cloud hybride se répartissent en quatre catégories, chacune correspondant à un domaine où les outils de sécurité perdent leur visibilité à une frontière.

• Des failles d'identité apparaissent après l'authentification, lorsque les contrôles IAM et PAM cessent de s'appliquer et que la détection comportementale ne se déclenche pas. Dès qu'un attaquant réussit la vérification d'identification avec des identifiants valides, les contrôles d'identité cessent de fonctionner.
• Cloud apparaissent Cloud une fois l'accès accordé, lorsque les outils de gestion de la sécurité cessent de fonctionner et que le comportement des attaquants en exécution n'est plus surveillé. Les solutions CSPM, CASB et CNAPP ont été conçues pour prévenir et configurer, et non pour détecter ce que font les identités authentifiées au sein cloud .
• Des failles apparaissent dans le trafic est-ouest, là où les contrôles périmétriques ne s'étendent pas et où les mouvements latéraux se déroulent à l'insu de tous. Les pare-feu, les systèmes NAC et les IDPS surveillent les limites, mais pas les espaces entre les systèmes internes où les attaquants opèrent leurs manœuvres.
• Endpoint apparaissent partout où il est impossible de déployer des agents : cloud , appareils non gérés, plateformes SaaS et API d'identité, que les attaquants ciblent délibérément en raison de l'absence de données de télémétrie.

Pourquoi les attaques ciblant l'identité contournent-elles les contrôles de sécurité traditionnels ?

Les attaques basées sur l'identité aboutissent parce que les outils de sécurité des identités sont conçus pour contrôler l'accès, et non pour détecter le comportement des identités authentifiées une fois l'accès accordé. Dès qu'un attaquant se procure des identifiants valides, que ce soit par phishing, par échange de carte SIM ou par vol de jeton de session, il passe l'authentification multifactorielle (MFA), respecte la politique d'IAM et pénètre dans l'environnement en tant qu'utilisateur de confiance. Les outils censés l'arrêter détectent une connexion normale. Ce qui se passe ensuite leur échappe complètement.

Les identifiants volés créent des angles morts après l'authentification

Dès qu'un attaquant se connecte plutôt que de s'introduire par effraction, les contrôles d'identité axés sur la prévention cessent de fonctionner. Le système IAM accorde l'accès car les identifiants sont conformes à la politique. L'authentification multifactorielle (MFA) est validée car l'attaquant dispose du jeton. Le système PAM est contourné car le compte utilisé n'est pas classé comme privilégié, ou bien l'attaquant procède à une élévation de privilèges via un compte qui n'est pas encore concerné par les mesures de sécurité.

Les activités post-authentification, telles que l'exploration de l'environnement, la délégation d'accès aux boîtes aux lettres, la modification des périmètres d'autorisation ou l'ajout de relations de confiance fédérées, apparaissent comme un comportement utilisateur normal du point de vue des outils individuels. Leur détection nécessite une analyse comportementale sur la durée et à l'échelle du domaine, et non un contrôle d'accès au niveau des événements.

L'IAM, le PAM et l'UEBA ne se limitent pas à la détection des menaces liées à l'identité

Les solutions IAM, PAM et UEBA traitent chacune un aspect spécifique du risque lié à l'identité. L'IAM contrôle qui peut s'authentifier et avec quelles autorisations. Le PAM restreint l'accès à des comptes privilégiés désignés. L'UEBA établit des profils statistiques du comportement normal et signale tout écart par rapport à ces normes. Aucune de ces approches ne permet de détecter en temps réel le comportement des attaquants après leur authentification dans des environnements hybrides. Le tableau suivant montre les lacunes de chaque outil en matière de visibilité et la manière dont les attaquants exploitent ces limites.

Pourquoi il est difficile de détecter les abus liés à Microsoft 365 et à Entra ID

Microsoft 365 et Microsoft Entra ID (anciennement Azure AD) comptent parmi les points d'entrée les plus exploités dans les attaques hybrides modernes. Les pirates ciblent la délégation des boîtes aux lettres, les autorisations des applications OAuth, les relations de confiance fédérées et les failles dans les politiques d'accès conditionnel, autant d'activités qui utilisent des API Microsoft légitimes et génèrent des événements qui semblent anodins sans contexte comportemental.

La détection d'activités anormales dans cloud de Microsoft nécessite un contexte comportemental que les outils natifs de Microsoft et les intégrations CASB basées sur des API ne peuvent pas fournir en temps réel. L'UEBA nécessite une ingestion complète des journaux et présente un temps de latence dans l'évaluation des scores que les attaquants peuvent contourner. Le problème réside dans la détection comportementale de ce que font réellement les identités authentifiées, et non pas seulement de ce qu'elles sont autorisées à faire.

Pourquoi les outils cloud laissent encore des angles morts au niveau de l'exécution

Les outils Cloud sont principalement conçus pour prévenir, configurer et appliquer des politiques, et non pour détecter le comportement des attaquants pendant l'exécution. Le CASB contrôle l'accès aux services SaaS. Le CSPM analyse cloud . Le CWPP surveille les processus des charges de travail sur lesquelles des agents sont déployés. Le CNAPP consolide la visibilité sur l'état de sécurité et les charges de travail. Le SASE régit les voies d'accès. Chacun excelle dans son domaine. Aucun ne permet une détection continue en temps réel du comportement des attaquants au sein des environnements cloud SaaS une fois l'accès accordé.

Comparaison entre CASB, CSPM, CNAPP, CWPP et SASE

Le tableau ci-dessous présente la manière dont les attaquants contournent chaque outil cloud et met en évidence les lacunes qui persistent en matière de détection. Il ne s'agit pas de défaillances des outils, mais de limites inhérentes à leur conception. Ces lacunes existent parce que la gestion de la posture de sécurité et la gouvernance des accès ont été conçues pour des modèles de menaces différents de ceux liés à la détection comportementale des attaquants après l'authentification.

Pourquoi les failles cloud persistent-elles une fois l'accès accordé ?

La principale limite des outils cloud réside dans le fait que leur logique de détection s'active avant ou au niveau de la frontière d'accès. Le CSPM signale une mauvaise configuration avant qu'elle ne soit exploitée. Le CASB bloque une application non autorisée avant que l'utilisateur n'y accède. Le SASE évalue une demande de connexion avant que l'accès ne soit accordé. Une fois qu'un attaquant est à l'intérieur, qu'il soit authentifié via l'authentification unique (SSO), qu'il utilise un jeton API valide ou qu'il opère via une identité fédérée de confiance, ces outils restent pour l'essentiel inactifs.

Le comportement des attaquants après avoir obtenu l'accès dans cloud comprend notamment : le recensement des ressources et des autorisations, l'escalade des privilèges par la manipulation des rôles, la modification des paramètres SaaS pour assurer la persistance, le pivotement entre cloud et l'exfiltration de données via des canaux légitimes. Ces activités ne sont pas bloquées par la gestion de la posture. Elles nécessitent une détection comportementale par rapport à un référentiel cloud normale.

Comment la confiance fédérée et l'abus de privilèges échappent aux outils d'évaluation de la posture

Les risques liés à l'identité fédérée et aux identités gérées constituent l'une des surfaces d'exposition les plus dangereuses et les moins surveillées dans les environnements hybrides. Les attaquants qui ajoutent ou modifient des relations de confiance fédérées créent des voies d'accès détournées qui résistent aux réinitialisations d'identifiants, apparaissent comme légitimes aux yeux des systèmes cloud et échappent aux analyses de configuration CSPM standard effectuées selon des calendriers périodiques.

L'abus de privilèges dans le cadre du SaaS suit un schéma similaire. La délégation de boîtes aux lettres dans Exchange Online, les autorisations d'application OAuth dans Entra ID et la manipulation de la portée des autorisations dans les rôles cloud utilisent toutes des API légitimes. Les outils d'évaluation de la posture qui vérifient la conformité aux politiques à un moment donné ne détectent pas ces changements au fur et à mesure qu'ils se produisent. L'analyse comportementale en temps réel de la manière dont les identités interagissent avec les plans cloud est le modèle de détection qui comble cette lacune.

Pourquoi la détection des mouvements latéraux ne fonctionne pas dans les environnements hybrides

La détection des mouvements latéraux s'avère inefficace dans les environnements hybrides, car les outils conçus pour surveiller l'activité réseau (pare-feu, NAC, IDPS et SIEM) ont été développés pour détecter des signatures connues, appliquer des politiques d'accès ou agréger les journaux provenant d'autres outils. Aucun d'entre eux n'assure une détection comportementale continue de la manière dont les attaquants se déplacent simultanément d'est en ouest et du nord au sud à travers les couches d'identité, cloud et de réseau.

Scattered Spider est l'un des adversaires les mieux documentés ciblant les environnements hybrides. Il utilise l'ingénierie sociale, l'usurpation d'identité et cloud pour s'implanter durablement et exfiltrer des données. La chronologie ci-dessous retrace le déroulement d'une attaque Scattered Spider en six étapes, et montre où les solutions de sécurité traditionnelles échouent à chaque étape.

‍

Lacunes en matière de visibilité du trafic est-ouest

Le trafic est-ouest — c'est-à-dire la communication latérale entre les charges de travail, les identités et les services au sein de l'environnement — constitue la voie par laquelle les attaques modernes progressent après l'accès initial. Les pare-feu et les contrôles de périmètre surveillent le trafic nord-sud à la frontière. Les agents EDR surveillent endpoint chaque endpoint . Aucun de ces deux éléments n'offre d'analyse continue, fondée sur le comportement, de la manière dont les entités se déplacent entre les systèmes au sein de l'environnement hybride.

Concrètement, cela signifie qu'un attaquant qui s'authentifie au niveau du périmètre, accède à une cloud , pivote vers une plateforme SaaS et parvient à monter en puissance en exploitant les systèmes d'identité peut franchir plusieurs étapes de la chaîne d'attaque sans déclencher la moindre alerte. Chaque étape prise isolément semble légitime. Seule la corrélation comportementale entre les différents domaines permet de mettre en évidence la progression coordonnée de l'attaquant.

Pourquoi les pare-feu, les systèmes NAC et les IDPS ne détectent pas les mouvements des attaquants

Les outils de sécurité réseau fonctionnent selon des modèles de détection fondamentalement différents de ceux de l'analyse comportementale. Le tableau ci-dessous résume les limites de chaque outil et les failles que les pirates exploitent.

‍

Ces outils ont toutefois une limite commune : ils ne sont pas en mesure de faire la distinction entre un utilisateur légitime et un pirate utilisant des identifiants, des protocoles et des chemins d'accès légitimes. Le contexte comportemental – c'est-à-dire ce que fait habituellement cette identité, les endroits où elle se connecte généralement et la manière dont cette activité s'inscrit par rapport aux schémas établis – dépasse le champ d'application des contrôles réseau basés sur les signatures et les politiques.

Comment les pirates s'intègrent aux protocoles fiables et au trafic chiffré

Les pirates informatiques modernes exploitent délibérément des protocoles que les outils de sécurité réseau considèrent comme fiables : HTTPS, DNS, RDP et SMB. L'analyse du trafic chiffré est limitée dans les environnements d'entreprise pour des raisons de performances et de confidentialité, ce qui offre aux pirates une voie de contournement fiable pour acheminer leurs communications C2 et exfiltrer des données via des canaux chiffrés.

Les techniques de « living-off-the-land » aggravent ce problème. Lorsqu'un attaquant utilise PowerShell, WMI ou les outils d'administration standard de Windows pour recenser l'environnement et se déplacer latéralement, il n'y a aucun fichier binaire malveillant que l'EPP puisse bloquer, aucune signature que l'IDPS puisse détecter, ni aucun protocole non autorisé que la politique de pare-feu puisse rejeter. La détection nécessite de comprendre ce que font ces outils, et pas seulement de constater leur existence.

Pourquoi endpoint ne couvre pas l'intégralité du chemin d'attaque

Les plateformes Endpoint et de réponse Endpoint et Endpoint (EPP) constituent des investissements fondamentaux en matière de sécurité. L'EDR fournit des données de télémétrie détaillées sur les processus, les modifications du registre et le comportement au niveau de l'hôte. L'EPP empêche l'exécution de menaces connues grâce à des signatures, des méthodes heuristiques et le sandboxing. Ces deux solutions sont performantes dans leur domaine respectif. Le problème est que les attaques modernes contournent de plus en plus souvent endpoint les endpoint ou se propagent à travers les surfaces d'attaque, cloud , les plateformes SaaS, les systèmes d'identité et les appareils non gérés, où les agents ne peuvent pas être déployés ou sont absents.

Où s'arrête l'EDR

La raison pour laquelle l'EDR ne suffit pas à elle seule tient à un problème de périmètre : la visibilité offerte par l'EDR s'arrête au niveau du endpoint géré. Les attaques Cloud qui opèrent via cloud , des applications SaaS ou des API d'identité ne génèrent jamais de données télémétriques EDR. Les appareils non gérés — systèmes IoT, infrastructure OT, appareils BYOD, terminaux distants — ne peuvent pas exécuter d'agents EDR. Les attaquants qui comprennent cela en tirent délibérément parti : ils opèrent dans les espaces entre les hôtes couverts par l'EDR, en utilisant des identifiants valides pour se fondre dans le trafic normal.

Là où l'EPP s'arrête

L'EPP se limite aux signatures de menaces connues. malware sans fichier malware s'exécutent entièrement en mémoire ne déclenchent pas la détection basée sur le disque. Zero-day ne correspondent à aucune signature existante. Les outils d'administration légitimes, tels que PowerShell, WMI et RDP, ne sont pas signalés, quelle que soit l'utilisation qu'en fait l'attaquant. L'EPP offre une couche de protection importante au stade de l'exécution, mais il ne s'agit pas d'un mécanisme de détection du comportement des attaquants après l'authentification.

Pourquoi les pirates informatiques évitent endpoint les endpoint

La technique d'évasion la plus courante dans les attaques hybrides modernes ne consiste pas à contourner l'EDR, mais à acheminer l'attaque via des surfaces où l'EDR n'est pas présent. Les attaquants qui se connectent à Microsoft Entra ID, modifient les autorisations des boîtes aux lettres dans Exchange Online, obtiennent des privilèges élevés via des rôles cloud et exfiltrent des données via une application connectée via OAuth ont mené à bien une chaîne d'attaque complète sans toucher à un seul endpoint. Le tableau suivant résume le modèle de détection et les angles morts critiques pour chaque endpoint .

‍

Les quatre types d'attaques que endpoint ne détectent généralement pas sont les attaques par usurpation d'identité utilisant des identifiants valides dans Microsoft 365 ou Entra ID, l'abus de privilèges dans les applications SaaS sans intervention sur le endpoint, les mouvements latéraux entre cloud et les appareils non gérés, ainsi que la reconnaissance et l'exfiltration via le réseau sur des canaux cryptés ou non HTTP.

Comment Vectra AI les lacunes cloud hybride

Pour combler les lacunes cloud hybride, il n'est pas nécessaire de remplacer les outils existants. Les contrôles Endpoint, cloud, des identités et du réseau remplissent chacun des fonctions essentielles dans leur domaine respectif. La lacune réside dans la visibilité et la détection des comportements à travers ces différents domaines, c'est-à-dire la capacité à observer comment les identités, les charges de travail et les appareils se comportent lorsqu'ils évoluent dans l'environnement hybride, et à mettre en corrélation ces comportements pour en dégager un tableau cohérent des attaques avant que des dommages ne surviennent.

Détection comportementale à l'échelle de l'identité, cloud et du réseau

La détection comportementale fonctionne différemment des contrôles basés sur des signatures ou sur des règles. Au lieu de comparer les activités à une liste de schémas malveillants connus, l'IA comportementale modélise ce à quoi ressemble une activité normale pour chaque identité, charge de travail et appareil dans leur contexte, puis détecte les écarts correspondant aux techniques des attaquants tout au long de la chaîne MITRE ATT&CK . Cette approche permet de détecter l'utilisation abusive d'identifiants, l'escalade de privilèges, les mouvements latéraux et les communications C2, même lorsque les attaquants utilisent des identifiants légitimes et des protocoles fiables.

Une détection efficace des comportements suspects dans les environnements hybrides nécessite une analyse continue du trafic réseau, des événements liés à l'identité dans Active Directory et Entra ID, des interactions SaaS et de l'activité du plan cloud — le tout mis en corrélation en temps réel plutôt que reconstitué a posteriori à partir des journaux.

Hiérarchisation des signaux d'attaque

Le volume d'alertes constitue un problème structurel dans les opérations de sécurité hybrides. Lorsque chaque outil spécifique à un domaine génère ses propres alertes, les analystes du SOC doivent trier des flux de signaux disparates. Il en résulte une fatigue liée aux alertes, des corrélations manquées et des retards dans les interventions. La hiérarchisation des signaux d'attaque, c'est-à-dire la corrélation automatisée d'événements connexes entre différents domaines pour obtenir une vue d'ensemble unifiée des risques, permet de remédier à ce problème en mettant en évidence les entités qui traduisent un comportement d'attaquant réel et évolutif, plutôt que de simples anomalies isolées.

Une hiérarchisation efficace des priorités nécessite une vision globale : il faut comprendre qu'une alerte d'identité dans Entra ID, un événement cloud dans AWS et un déplacement latéral détecté dans le trafic est-ouest s'inscrivent dans la même progression de l'attaque — et mettre en évidence ce lien avant que l'attaque n'ait des conséquences.

Compléter, et non remplacer, les contrôles existants

Une architecture bien conçue tire parti des investissements existants plutôt que de les remplacer. Les solutions EDR, IAM, CSPM et SIEM remplissent chacune des fonctions essentielles. L'ajout d'une détection comportementale couvrant les couches d'identité, cloud et de réseau – c'est-à-dire les zones que ces outils ne couvrent pas – comble les lacunes sans perturber ce qui fonctionne déjà. Le modèle concret consiste en une couche de détection qui s'étend à l'ensemble de l'environnement, analyse les comportements en temps réel et transmet des signaux de haute fiabilité aux workflows SIEM et SOAR existants.

Le tableau ci-dessous présente les principales lacunes d'une infrastructure de sécurité d'entreprise standard et les avantages apportés par la détection comportementale hybride.

Les failles cloud hybride dans la pratique

Les cas suivants montrent comment les failles cloud hybride ont créé des angles morts exploitables dans des environnements réels, et ce qu'il aurait fallu mettre en place en matière de détection pour les combler plus tôt.

Scattered Spider MGM Resorts et Caesars Entertainment, 2023. Scattered Spider un accès initial par le biais phishing par SMS phishing d'un échange de carte SIM, puis s'est propagé à travers Microsoft Entra ID, Exchange Online et cloud en utilisant des identifiants valides. Les mesures de prévention ont échoué à chaque étape, car l'attaque a emprunté des voies d'accès légitimes. Les dommages se sont élevés à plus de 100 millions de dollars. La détection a nécessité une surveillance comportementale de l'activité des identités après l'authentification, et non des contrôles périmétriques.

Organisme mondial de santé — Vol d'identifiants AWS, détecté quelques jours après le déploiement Une organisation mondiale du secteur de la santé a détecté des identifiants volés, cloud , des tentatives d'escalade de privilèges et des activités de persistance sur AWS quelques jours après avoir déployé un système de détection comportementale. Son SIEM n'avait rien détecté. Le SOC est intervenu avant que les données ou les opérations ne soient affectées (témoignageVectra AI ).

Globe Telecom — mouvements latéraux et bruit des alertes, 2023 Globe Telecom a réduit son temps de réponse aux incidents de 16 heures à 3,5 heures après avoir déployé une détection comportementale interdomaines. Le bruit des alertes a diminué de 99 % et les escalades ont baissé de 96 %, permettant aux analystes de se concentrer sur six incidents réels au lieu de centaines de milliers d'alertes de faible valeur. Le fossé comblé n'était pas dû à un remplacement d'outil, mais à la couverture des surfaces que les outils existants ne pouvaient pas voir (témoignageVectra AI ).

Conclusion

Les failles cloud hybride ne sont pas le fait d'une défaillance des outils individuels. Elles constituent une conséquence structurelle du déploiement de contrôles spécifiques à chaque domaine dans des environnements où les attaques modernes se déplacent avec aisance entre endpoint identités, cloud, le réseau et endpoint . L'IAM s'arrête à la frontière de l'authentification. L'EDR s'arrête au niveau endpoint géré. Le CSPM s'arrête avant l'exécution. C'est dans les lacunes entre ces contrôles que se produisent 40 % des violations de données majeures.

Pour combler ces lacunes, trois capacités doivent fonctionner de concert : une visibilité continue sur les comportements dans l'ensemble de l'environnement hybride, une détection des attaques capable de corréler les activités entre les différents domaines pour en dégager un tableau cohérent des menaces, et une capacité de confinement suffisamment rapide pour interrompre les attaques avant qu'elles n'aient un impact. Les organisations qui intègrent ces capacités à leur infrastructure existante — plutôt que de la remplacer — affichent systématiquement un temps de réponse moyen plus court, un volume d'alertes réduit et des preuves plus solides de l'amélioration de leur posture de sécurité.

Le paysage des menaces continuera d'évoluer. Les pirates continueront d'utiliser des identifiants valides, des protocoles fiables et des voies d'accès légitimes pour échapper à la détection. Ce qui ne change pas, c'est l'exigence fondamentale en matière de défense : tout voir, comprendre ce qui compte et agir avant que le mal ne soit fait.

Découvrez comment la plateformeVectra AI détecte les comportements malveillants au niveau des identités, cloud, du réseau et endpoint, comblant ainsi les failles cloud hybride que les outils spécialisés laissent derrière eux.