Provisionnement et gestion d’identité : Où en est-on ?
Identity Days 2020 - L’usurpation d’identité, un risque majeur pour les entreprises et collectivités : Comment s’en prémunir ?
1. Merci à tous nos partenaires !
29 octobre 2020
@IdentityDays #identitydays2020
2. L’usurpation d’identité, un risque majeur
pour les entreprises et collectivités -
Comment s’en prémunir ?
Hervé Thibault
29 octobre 2020
Identity Days 2020
3. Hervé Thibault
CTO @Metsys
Session sponsorisée par
• Etat des lieux des risques actuels autour de la sécurité
des identités
• Se prémunir – Moyens techniques :
• MFA, PIM, logs, SIEM, …
• Se prémunir – Moyens opérationnels :
• Accompagnement au changement, gouvernance
des outils, …
• Réagir :
• Gestion de crise, …
AGENDA DE LA CONFÉRENCE
29 octobre 2020
Identity Days 2020
4. Etat des lieux des risques actuels
autour de la sécurité des identités
Identity Days 2020
29 octobre 2020
5. La crise sanitaire, accélérateur du risque sécuritaire
Identity Days 2020
24 octobre 2020
7. La base ? L’utilisateur !
• Se protéger soi-même et les autres avec le recours aux
« gestes barrières de la sécurité IT » :
• Attention aux PJ, aux mails « bizarres », aux clé USB qui traînent,
aux discussions dans les lieux publics (physiques ou virtuels, …)
• Spécificités du télétravail
• Campagne de (faux) phishing avec Microsoft Defender
for Office 365 (ex Office 365 ATP)
• Une aide précieuse : le MOOC de l'ANSSI
• Accessible gratuitement jusqu’au mois d’avril 2021
• formation « certifiante »
• https://secnumacademie.gouv.fr/
Identity Days 2020
24 octobre 2020
« On a rendu les utilisateurs indépendants avec des outils performants,
on ne les a pas pour autant rendu responsables »
8. Protection « proactive »
Aujourd'hui protéger l'AD, le « bastion », ne suffit plus dans un
monde hybride et d'attaque par ingénierie sociale, phishing, ...
… Mais cela reste complètement indispensable !
Identity Days 2020
24 octobre 2020
Active Directory - « OnPrem »
Microsoft Defender for Identities
(ex Azure ATP, ex ATA)
Liste des alertes : https://docs.microsoft.com/en-US/azure-advanced-
threat-protection/suspicious-activity-guide?tabs=external
10. Protection « proactive »
Credential Guard
Windows Hello for
Business – Passwordless
Identity Days 2020
24 octobre 2020
Windows 10
11. Protection « réactive »
Azure Logs / Monitor
Azure sentinel (Siem)
Microsoft Defender
for Endpoints
Identity Days 2020
24 octobre 2020
Monitoring Azure Azure Sentinel
12. Les stratégies gagnantes
Utiliser le MFA pour les comptes admins, pour les comptes
utilisateurs, …
Utiliser les comptes « brise glace » pour l ’administration globale :
• Mot de passe fort (aléatoire) avec une « longue durée »
• (Activer une authentification MFA différente)
• Ne pas utiliser ces comptes pour le travail quotidien !
• Changer le mot de passe après utilisation et sur une base planifiée
• Surveiller avec une attention toute particulière l’utilisation de ces
comptes ! (Sign-ins, password change/reset, Account disabled)
Utiliser Credential Guard & Windows Hello For Business (Windows 10)
Identity Days 2020
24 octobre 2020
Renforcer les « credentials »
13. Les stratégies gagnantes
Utiliser Privileged Identity Management
• Just In Time administration (JITA) pour
limiter la « temporalité » du risque
• Just Enough Administration (JEA) pour
limiter le périmètre du risque
Bloquer les authentifications « douteuses » avec
Conditional Access
Revalider régulièrement les « habilitations » avec
Access Review & Identity Governance
Identity Days 2020
24 octobre 2020
Réduire la surface d’attaque
14. Les stratégies gagnantes
Monitorer les différents
logs Azure AD & Identity
Protection
Identity Secure Score
Identity Days 2020
24 octobre 2020
Utiliser l’intelligence artificielle
15. Les stratégies gagnantes
Self-Service Reset Password
Mes informations de sécurité
My sign-ins
Identity Days 2020
24 octobre 2020
Self-Service utilisateur
16. Réagir - Les enseignements de la crise
Identity Days 2020
29 octobre 2020
17. Premiers constats
• Les PCA / PRA existants se sont généralement révélés inadaptés à la
situation
• Les VPN, quand ils existaient, ont eu bien du mal à tenir la charge
• Internet est aujourd'hui le réseau de bon nombre d’entreprises
• Les solutions Cloud, vues parfois avec réticence avant la crise, sont
devenues dans bien des cas notre « meilleur ennemi »
• Les Interconnexions clients/fournisseurs/partenaires/entités souvent
créés rapidement pour répondre au besoin business, sont généralement
insuffisamment sécurisées
• Le décloisonnement du SI est un fait, et l’impact sur la sécurité est majeur
24 octobre 2020
La crise ? Nous sommes encore dedans!
18. Les enseignements
Identity Days 2020
24 octobre 2020
Identity Days 202
Il est nécessaire de réévaluer le niveau de probabilité des risques critiques
L’improvisation est (aussi) une valeur, il faut savoir s’autoriser à prendre
des libertés quant aux bonnes pratiques
Il est faut envisager de compartimenter pour limiter l’impact et le risque
(« red button » ou « tableau de fusibles »)
Il convient de s’assurer que vos partenaires/fournisseurs soient « COVID
resilient »
Il faut que les interlocuteurs qui auront à intervenir en gestion de crise se
connaissent déjà et puissent idéalement avoir développé des
automatismes
La communication (et la gouvernance de cette communication) au sein de
la crise, vers les utilisateurs/fournisseurs/partenaires est un élément clé
La crise nous impose de prendre les choses avec humilité
20. Le pire est sans doute à venir !
La sécurité en général, et la gestion des identités et des
accès en particulier, doit plus que jamais être au cœur des
réflexions (et des budgets) des DSI.
La prochaine étape : Cyber Pandémie ? A l’instar de la crise
sanitaire, il pourrait y avoir une tension sur le personnel
« médical » : ici les spécialistes en Cybersécurité.
Identity Days 2020
24 octobre 2020
Il est donc nécessaire d’identifier dès à présent le bon partenaire qui pourra
vous accompagner dans la crise, et commencer dès aujourd’hui à développer
les automatismes qui demain sauveront peut-être votre SI, voire votre activité