Sécuriser l'entreprise IA : le point de vue de notre PDG sur la mise en œuvre de l'IA sans perdre le contrôle.
Lire le blog

Sécuriser l'entreprise IA : le point de vue de notre PDG sur la mise en œuvre de l'IA sans perdre le contrôle. Lire le blog →

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
  1. Principes fondamentaux de la cybersécurité
    >
  2. Analyse d'identité

Explication de l'analyse d'identité

Aperçu de la situation

  • Les signaux de menace corrélés entre les environnements contribuent à réduire l'incertitude lors de la hiérarchisation des identités.
  • La notation d'urgence tient compte de l'importance commerciale ainsi que de la rapidité et de la sophistication des tactiques d'attaque observées.
  • Le comportement observé permet d'analyser les identités humaines et non humaines.

Fondamentalement, l'analyse d'identité utilise l'apprentissage automatique pour corréler les signaux de menace entre les réseaux, cloud, les SaaS et les systèmes d'identité afin de hiérarchiser les identités en fonction des risques observés.

Dans les opérations de sécurité, l'activité liée à l'identité est répartie sur de nombreux systèmes, tandis que les enregistrements d'identité statiques montrent rarement comment les privilèges sont exercés en temps réel. Plutôt que de se fier uniquement aux rôles attribués, cette approche met l'accent sur les privilèges observés et la corrélation entre les environnements.

Qu'est-ce que l'analyse d'identité ?

L'analyse des identités évalue les risques liés à l'identité en se basant sur les comportements observés plutôt que sur des attributs statiques tels que les rôles attribués ou les entrées de répertoire. Cette distinction est importante car, lors d'attaques réelles, la manière dont l'accès est réellement utilisé diffère souvent de ce qui est prévu sur le papier. En traitant les identités comme des entités actives, l'analyse des identités évalue les risques à travers cloud, le réseau, le SaaS et les systèmes d'identité plutôt que dans des silos isolés.

Il est également important de définir des limites claires. Lorsque l'analyse d'identité est confondue avec des pratiques d'identité adjacentes, les équipes peuvent s'appuyer sur des signaux incomplets ou mal interpréter l'activité d'identité. 

L'analyse d'identité est souvent confondue avec :

  • Gouvernance des identités et examens des accès, qui se concentrent sur l'attribution des droits plutôt que sur le comportement en temps réel.
  • Surveillance de l'authentification, qui met l'accent sur la réussite ou l'échec de la connexion sans tenir compte du contexte général de l'activité.
  • Analyse statique des répertoires, qui reflète les privilèges attribués plutôt que les privilèges observés
  • La recherche manuelle des menaces, qui ne peut généralement pas être étendue à l'analyse continue de milliers d'identités.

Lorsque le risque lié à l'identité est évalué principalement à partir des droits d'accès, des examens ou des résultats de connexion, des signaux comportementaux critiques peuvent être négligés. 

Découvrez pourquoi la gestion des identités et des accès ne suffit pas à elle seule à contrer les attaques modernes.

Pourquoi les vues d'identité basées sur les répertoires ne parviennent pas à représenter les privilèges observés

Les rôles attribués et l'appartenance à un groupe décrivent l'accès prévu, et non le comportement réel. Cet écart est important, car les pirates peuvent abuser d'identifiants légitimes sans déclencher de modifications dans les données du répertoire. C'est pourquoi il est important d'orienter l'évaluation des risques vers les privilèges observés et les activités corrélées plutôt que vers des enregistrements statiques.

Les enregistrements statiques, les événements isolés et l'évaluation d'identité basée sur des répertoires échouent généralement de la manière suivante :

  • Considérer les privilèges attribués comme équivalents à des privilèges effectifs, même lorsque le comportement indique un accès plus large.
  • Évaluer les événements liés à l'identité de manière isolée plutôt que de corréler les signaux dans un récit centré sur l'identité.
  • Utilisation du volume d'événements comme indicateur de gravité, augmentation de la fatigue liée aux alertes et mauvaise hiérarchisation des priorités
  • Obliger les analystes à passer d'un outil à l'autre et d'une requête à l'autre pour reconstruire manuellement le contexte identitaire

Les principaux niveaux d'analyse qui sous-tendent la hiérarchisation des risques liés à l'identité

La combinaison des privilèges observés, de la corrélation interdomaines et de la notation d'urgence permet d'obtenir une vision du risque centrée sur l'identité. Cette structure est importante, car la compromission d'identité s'étend souvent aux fournisseurs d'identité, cloud , aux applications SaaS et aux réseaux. Traiter ces environnements séparément fragmente le contexte et obscurcit la progression.

Pour unifier la télémétrie et améliorer la hiérarchisation des priorités, l'analyse des identités s'appuie sur un ensemble défini de couches analytiques. Chaque couche traite une limitation spécifique de la surveillance traditionnelle des identités, et la suppression de l'une d'entre elles affaiblit l'interprétation des risques.

L'analyse d'identité repose sur les couches suivantes :

  • Privilège observé, qui suit le comportement et les modèles d'accès en temps réel plutôt que les rôles attribués.
  • Corrélation interdomaines, qui relie les activités d'identité entre les réseaux, cloud, les SaaS et les systèmes d'identité.
  • Évaluation de l'urgence, qui combine l'importance commerciale avec la rapidité et la sophistication des tactiques d'attaque observées.
  • Contexte d'enquête centré sur les entités, qui maintient l'analyse axée sur les identités et les ressources auxquelles elles ont accès.

Remplacer l'hypothèse de confiance statique par un privilège observé

Le comportement en temps réel offre une vision plus précise du risque lié à l'identité que les définitions de rôles statiques. Cela est important, car les attributs du répertoire peuvent rester inchangés même lorsque les privilèges font l'objet d'abus. Le suivi des privilèges observés favorise une perspective dynamique, Zero Trust.

Pour mettre en évidence les écarts significatifs, l'analyse d'identité se concentre sur des indicateurs spécifiques basés sur le comportement. Ces indicateurs sont importants car des changements subtils dans l'accès précèdent souvent des actions plus urgentes de la part des attaquants. Ils comprennent :

  • Changements subtils dans l'utilisation des privilèges qui dépassent les limites attendues
  • Identités fonctionnant avec des autorisations excessives par rapport aux attentes définies en matière d'accès
  • Modèles d'accès en temps réel qui contredisent les rôles attribués aux répertoires

Créer un récit unique grâce à la corrélation entre différents domaines

Les signaux dispersés à travers les systèmes sont rarement concluants à eux seuls. Le fait de relier l'activité entre les systèmes réseau, cloud, SaaS et d'identité réduit l'ambiguïté quant aux actions d'une identité, transformant ainsi des indicateurs partiels en modèles de comportement cohérents.

Pour ce faire, les solutions d'analyse d'identité relient systématiquement les activités entre plusieurs domaines, tels que :

Comment l'analyse d'identité permet de mettre en correspondance le comportement identitaire et la progression des attaques

Considérer la compromission d'identité comme une progression peut clarifier les décisions à prendre en matière de réponse. L'utilisation abusive à un stade précoce diffère de l'exploitation à un stade avancé, et la corrélation des comportements aide à différencier les deux. Cela permet de réduire l'incertitude quant à la gravité et au moment opportun.

Pour évaluer la progression, les analystes examinent les comportements récurrents qui indiquent une avancée, de l'accès au contrôle, dans différents environnements :

Pour combler cette lacune, il faut recourir à des analyses axées sur l'identité qui permettent de détecter rapidement les comportements d'attaque réels et de réduire la charge de travail liée aux enquêtes pour des équipes déjà soumises à des contraintes.

Découvrez comment Vectra AI offre une visibilité 3 fois supérieure sur les menaces tout en réduisant la charge de travail de 50 % →

Comment évaluer les approches d'analyse d'identité 

L'évaluation dépend de la capacité d'une approche à réduire réellement l'incertitude et à améliorer la hiérarchisation des priorités. Les enregistrements statiques et les alertes isolées ne répondent pas à cette exigence. Une analyse efficace des identités se concentre donc sur le comportement, la corrélation et l'urgence.

Une évaluation efficace doit se concentrer sur la capacité d'une approche à réduire réellement l'incertitude et à améliorer la hiérarchisation des priorités. Les enregistrements statiques et les alertes isolées ne permettent pas d'atteindre cet objectif. Une analyse d'identité efficace se concentre sur les comportements observés, les corrélations entre les environnements et l'urgence.

Des critères d'évaluation clairs permettent d'éviter les erreurs de classification et les frictions opérationnelles. Ils déterminent également si l'analyse d'identité peut remplacer l'assemblage manuel des événements par des informations cohérentes et centrées sur l'identité.

Les approches d'analyse d'identité peuvent être évaluées à l'aide des critères suivants :

  • Cette approche repose-t-elle sur les privilèges observés plutôt que sur les rôles statiques attribués dans le répertoire comme base pour l'évaluation des risques ?
  • Est-ce qu'il met en corrélation les signaux d'identité entre le réseau, cloud, le SaaS et les systèmes d'identité, au lieu de les analyser séparément ?
  • La hiérarchisation des priorités est-elle dictée par l'urgence et le risque plutôt que par le nombre brut d'alertes ou d'événements ?

Comment la Vectra AI utilise l'analyse des identités pour hiérarchiser les risques liés aux identités dans différents environnements

Vectra AI applique l'analyse des identités en corrélant les signaux de menace d'identité dans tous les environnements afin de hiérarchiser les identités les plus urgentes. Cela est important car la compromission d'identité peut s'étendre au réseau, cloud, au SaaS et aux systèmes d'identité, et les alertes isolées ne fournissent pas une vue unifiée des privilèges observés et de la progression des risques.

En substance, la Vectra AI considère le problème comme une question de priorisation centrée sur l'identité plutôt que comme une surveillance centrée sur les événements.

Grâce à l'analyse d'identité, la Vectra AI offre une visibilité sur :

  • Quelles identités présentent un comportement corrélé entre les réseaux, cloud, les SaaS et les systèmes d'identité ?
  • Quelles identités témoignent d'une évolution des privilèges observés associés à la progression du risque ?
  • Quelles identités sont impliquées dans des comportements tels que les mouvements latéraux ou l'escalade des privilèges ?

Découvrez comment la Vectra AI hiérarchise les risques liés à l'identité sur le réseau, cloud et le SaaS →

Plus d'informations sur les fondamentaux de la cybersécurité

Qu'est-ce que l'indicateur de compromis ?

Les indicateurs de compromission de domaine (IOC) sont un signal fort de compromission car ces domaines ont été enregistrés par un acteur malveillant et le trafic ...

En savoir plus
Services gérés de sécurité informatique : guide complet sur les MSSP, MDR et SOC

Guide complet des services de sécurité informatique gérés. Découvrez les différences entre MSSP et MDR, les tarifs, la sélection des fournisseurs et comment l'IA transforme les SOC. Basé sur les données du marché pour 2025.

En savoir plus
Cyberattaques : 6 types d'attaques courantes et comment les prévenir

Découvrez les différents types de cyberattaques, notamment les malware, le phishing, les attaques DoS et MITM, et leur impact sur les particuliers, les entreprises et les gouvernements.

En savoir plus
Comprendre les cybercriminels dans le domaine de la cybersécurité

Les cybermenaces n'émanent plus d'individus isolés ; elles sont le fait d'un ensemble d'entités sophistiquées et bien organisées, dotées d'agendas et de capacités différents.

En savoir plus
Qu'est-ce que la sécurité de l Cloud ?

Principales menaces pour la sécurité de l'cloud - 1. Gestion insuffisante des identités, des références et des accès - 2. Interfaces et API non sécurisées - 3. Détournement de compte - 4. Malveillance ...

En savoir plus
Qu'est-ce que les techniques d'attaque ?

Cet article donne une vue d'ensemble des techniques de cyberattaque courantes et avancées, en proposant des explications techniques et des exemples.

En savoir plus
Qu'est-ce que la triade de visibilité de l'équipe de sécurité ?

Cette approche à trois volets permet aux SOC d'accroître la visibilité des menaces, la détection, la réponse, l'investigation et les pouvoirs de remédiation.

En savoir plus
Solutions de cybersécurité - Outils de sécurité avec ou sans agent

Découvrez des solutions de cybersécurité pour les menaces modernes. Comparez les approches avec et sans agent, explorez les options modernes de NDR et construisez une sécurité efficace.

En savoir plus
Comprendre le comportement des pirates dans les environnements de sécurité modernes

Comprendre le comportement des attaquants, comment les attaques modernes se propagent à travers les identités, les réseaux et cloud, et comment les équipes SOC doivent interpréter les actions et les signaux.

En savoir plus
Voir tous les fondamentaux de la cybersécurité

Foire aux questions

En quoi l'analyse d'identité diffère-t-elle de l'utilisation exclusive des données d'annuaire ?

L'analyse d'identité remplace-t-elle les contrôles préventifs d'identité tels que l'authentification multifactorielle (MFA) ?

Comment l'urgence est-elle évaluée dans l'analyse d'identité ?

Comment les identités non humaines sont-elles évaluées dans l'analyse d'identité ?

Quels sont les signaux les plus pertinents pour détecter une compromission d'identité ?