Définition de la détection et de la réponse aux cybermenaces liées à l'identité (ITDR)

Qu'est-ce que l'Identity Threat Detection et réponse (ITDR) ?

Identity Threat Detection et réponse (ITDR) est un cadre de cybersécurité conçu pour détecter, étudier et atténuer les attaques basées sur l'identité en temps réel. L'ITDR surveille en permanence l'activité des utilisateurs, analyse les schémas d'accès et réagit aux cybermenaces liées à l'identité telles que la compromission des identifiants, l'élévation des privilèges et les mouvements latéraux. Contrairement aux solutions de sécurité traditionnelles, l'ITDR offre une visibilité spécifique à l'identité et une application des mesures en temps réel afin d'empêcher les cyberadversaires d'exploiter des identifiants compromis et de se déplacer latéralement.

Dans cet article, nous allons faire la lumière sur l'ITDR, les défis de sécurité auxquels elle répond et sa comparaison avec la détection et réponse à incident sur les endpoints (EDR), une solution de sécurité basée sur les appareils.

Pourquoi l'ITDR est essentiel : la cybermenace croissante des attaques ciblant l'identité

Les cyberattaques modernes basées sur l'identité représentent une menace importante pour les entreprises, car elles entraînent souvent des pertes financières, ainsi que des problèmes juridiques et de réputation. Relever ces défis peut s'avérer particulièrement difficile.

Les cyberattaques modernes sont plus rapides et plus sophistiquées

Les cybercriminels élargissent leur répertoire d'attaques pour s'adapter aux progrès technologiques. La rapidité et la sophistication des attaques ciblant l'identité ont dépassé les capacités des outils de sécurité traditionnels. Les cyberadversaires ont désormais recours à des techniques permettant de contourner le MFA, à des cookies de session volés et au credential stuffing (recyclage d'identifiants) pour infiltrer les entreprises en quelques minutes.

Le rapport CrowdStrike 2025 Global Threat Report souligne les faits suivants :

• L'activité des access brokers a augmenté de 50 %
• Le phishing vocal (ou vishing) a augmenté de 442 % en 2024
• Le temps moyen nécessaire aux cybercriminels pour s'introduire dans un système est de 48 minutes, le temps le plus court enregistré étant de 51 secondes
• 52 % des vulnérabilités observées avaient un lien avec l'accès initial

L'environnement et le paysage des identités sont devenus plus complexes

En outre, les technologies cloud associées au télétravail ont considérablement accru la complexité de la gestion de la surface d'attaque :

• La diversité de l'architecture multicloud et des différents référentiels d'identité complique la détection et la protection contre les cyberattaques, ce qui réduit la visibilité de bout en bout.
• Pour gérer leur infrastructure d'identités, 90 % des entreprises au classement Fortune 1000 font encore appel à Active Directory (AD), une ancienne technologie vulnérable aux cyberattaques. Les cyberattaquants peuvent passer latéralement d'une infrastructure sur site à une infrastructure dans le cloud, ce qui fait de l'AD une cible privilégiée. La complexité des environnements entrave la conduite d'audits réguliers sur les utilisateurs et la détection de vulnérabilités éventuelles dans les référentiels d'identités.

Par conséquent, les entreprises qui ont une faible visibilité sur leur environnement cloud sont très vulnérables.

Les solutions ITDR repèrent les cyberattaques et réagissent en contrôlant constamment l'activité des utilisateurs, en identifiant les comportements anormaux et en alertant les équipes de sécurité. Elles offrent une visibilité et un contrôle centralisés de toutes les identités et de tous les privilèges attribués aux utilisateurs. Vous pouvez également les intégrer aux outils existants de gestion des identités et des accès (IAM) pour simplifier et atténuer la difficulté de gestion des utilisateurs dans un contexte qui évolue sans cesse.

ITDR et EDR

L'ITDR et l'EDR (détection et intervention sur les endpoints) se complètent tout en se concentrant sur des aspects différents la sécurité. L'EDR surveille les endpoints (ordinateurs portables, postes de travail, serveurs) afin de détecter les logiciels malveillants, les exploits et les attaques au niveau système. En revanche, l'ITDR surveille les activités liées à l'identité afin de détecter l'utilisation abusive des identifiants, l'élévation des privilèges et les tentatives d'accès non autorisées.

L'ITDR surveille et analyse les logs d'activité des utilisateurs et de gestion des accès, et signale toute activité malveillante. Elle recueille des données provenant de plusieurs sources IAM, notamment sur site et dans le cloud. L'EDR, quant à lui, surveille et analyse les endpoints tels que les stations de travail et les ordinateurs portables. Cette procédure consiste donc à collecter les logs des systèmes et à analyser le trafic réseau afin de détecter les activités malveillantes dans l'équipement d'une entreprise.

La combinaison de l'ITDR et de l'EDR permet de mettre en place une approche unifiée de la sécurité. Si un système EDR détecte une activité suspecte sur un endpoint, l'ITDR aide à déterminer si la cybermenace provient de la compromission des identifiants, d'un mouvement latéral ou d'une utilisation abusive des privilèges, ce qui permet aux équipes de sécurité de bien comprendre la chaîne d'attaque. Dans un scénario où un cyberattaquant a accédé à votre réseau par l'intermédiaire d'un endpoint, une solution EDR détectera toute activité suspecte sur cet appareil. Vous devez donc absolument comprendre comment le cyberattaquant a obtenu l'accès et s'il s'agit d'une fuite d'identifiants.

Parallèlement, les solutions ITDR fournissent des informations approfondies sur toutes les cybermenaces liées à l'identité. L'ITDR peut rapidement établir un lien entre les identifiants utilisés dans l'activité malveillante et ceux des utilisateurs autorisés. Ce niveau de visibilité permet d'identifier l'origine de l'attaque et d'améliorer les dispositifs de sécurité afin d'éviter que des incidents similaires ne se reproduisent à l'avenir.

La combinaison des fonctionnalités de l'ITDR et de l'EDR offre à une entreprise un avantage significatif pour repérer et contrer les intrusions complexes ainsi que les manœuvres latérales.

Les incontournables d'une solution ITDR

L'ITDR est désormais un élément essentiel des architectures de sécurité modernes, en raison de la multiplication rapide des intrusions liées à l'identité, des abus de privilèges et des cybermenaces pesant sur la sécurité du cloud. Par conséquent, les entreprises qui souhaitent se protéger en détectant ces cyberattaques ont besoin d'une solution adaptée à leurs besoins.

Dans cette optique, examinons les trois fonctionnalités essentielles de toute solution ITDR.

1. Visibilité permanente

Une visibilité en temps réel sur les identités est essentielle pour contrer les cybermenaces liées aux identités avant que les cyberadversaires ne parviennent à s'implanter durablement. Les solutions ITDR doivent établir des corrélations entre les activités d'authentification, le comportement des utilisateurs et les tentatives d'élévation des privilèges, tant dans les environnements de cloud hybride que sur site. Par conséquent, une solution ITDR se doit de collecter constamment des données provenant de diverses sources et de réaliser une analyse approfondie des cybermenaces.

Pour signaler les éventuelles cybermenaces, cette démarche implique d'utiliser une combinaison des outils suivants :

• Analyse des identités
• Apprentissage automatique
• Techniques d'analyse comportementale
• Détection des anomalies

Pour détecter ces cybermenaces, une analyse rapide via des tableaux de bord s'avère aussi cruciale.

2. Contrôle proactif

Les cybermenaces liées à l'identité évoluent rapidement, ce qui exige des solutions ITDR qu'elles assurent une application automatisée et en temps réel des mesures de sécurité. Lorsqu'une solution ITDR détecte une activité suspecte, elle doit immédiatement révoquer l'accès, mettre fin aux sessions à risque, bloquer les mouvements latéraux ou exiger une authentification renforcée en fonction de la gravité du risque.

3. Contrôle basé sur le risque

Toutes les alertes générées par une solution de sécurité ne sont pas utiles. La lassitude face aux alertes répétées peut avoir des conséquences graves, comme des retards dans la réaction ou des cybermenaces noyées dans un flot d'alertes similaires.

Votre solution ITDR doit pouvoir reconnaître les faux positifs et établir des priorités en fonction du risque associé à ces cyberattaques. Elle doit aussi avoir l'intelligence nécessaire pour identifier les formes d'attaques qui ciblent fréquemment l'infrastructure et évaluer le degré de menace qui en découle.

L'approche de CrowdStrike

La plateforme CrowdStrike Falcon® est la seule solution unifiée du secteur capable de détecter et de prévenir les cybermenaces liées à l'identité en temps réel. En associant l'ITDR à l'EDR, Falcon comble les failles de sécurité qui permettent aux cyberadversaires d'exploiter les identifiants, de se déplacer latéralement et d'échapper à la détection. Contrairement aux solutions IAM ou EDR autonomes, Falcon ITDR exploite les renseignements sur les cyberadversaires pour détecter les techniques d'utilisation abusive des identifiants, notamment les attaques Golden Ticket, Pass the Hash et les tentatives de contournement du MFA. Cela permet aux entreprises d'automatiser la maîtrise des cybermenaces liées à l'identité avant que les cyberattaquants n'étendent leurs privilèges ou ne s'installent durablement dans le système. En regroupant les données télémétriques des endpoints et des identités, la plateforme réalise une mise en relation instantanée des cybermenaces, en combinant la cyberveille et les méthodes d'attaque classiques des cyberadversaires.

En offrant une vue d'ensemble sur les chaînes d'attaque, CrowdStrike couvre l'intégralité de l'arsenal des cyberadversaires, que ce soit la diffusion de logiciels malveillants, les attaques sans fichiers, ou encore les cas d'identifiants et d'identités usurpés.

CrowdStrike a créé une solution cloud native dotée d'un capteur unique déployable à n'importe quel endroit de l'environnement client, ce qui facilite grandement la collecte de données télémétriques, qu'elles proviennent d'un endpoint ou d'une identité. CrowdStrike Falcon® Next-Gen Identity Security étend la sécurité au-delà de l'IAM traditionnel en intégrant la gestion des droits sur l'infrastructure cloud (CIEM) afin de détecter les autorisations cloud mal configurées, les accès API non autorisés et les privilèges excessifs, garantissant ainsi une protection complète des identités.