Définissez l'identité comme fondement de la sécurité de votre organisation
Ayant convaincu votre direction de la pertinence de l'approche Zero Trust lors de votre précédente présentation, vous vous attaquez maintenant au risque le plus urgent identifié par votre analyse EBIOS RM : l'usurpation des comptes administrateurs.
Puisque vous avez démontré que le réseau classique n'est plus une barrière fiable, l'Identité doit devenir votre nouveau périmètre de défense exclusif.
Dans ce chapitre, nous allons passer de la théorie du modèle Zero Trust à sa première application concrète : l'exigence d'un socle d'identité fort, capable d’adresser le risque d’usurpation d’identité et de vérifier explicitement chaque demande d’accès.
Imposez un fournisseur d'identité (IdP) unique comme pivot de confiance
Dans une organisation de 500 personnes disposant d'un système d'information hybride, les identités ont tendance à se disperser : un annuaire local pour les serveurs historiques, des comptes indépendants pour divers logiciels SaaS, et des accès spécifiques pour les environnements Cloud. Cette fragmentation crée des "silos d'identités" qui sont un cauchemar à sécuriser et à auditer.
Pour bâtir le premier pan de votre architecture Zero Trust, vous devez exiger la centralisation de toutes les authentifications vers un seul Fournisseur d'Identité (IdP - Identity Provider). Cet IdP (par exemple Microsoft Entra ID) devient le pivot de confiance exclusif, mis dans le chemin de chaque demande d'accès pour unifier le contrôle.
Mais c’est vraiment nouveau un IdP ? J’entends régulièrement parler d’un vieux LDAP dans mon Système d’information. Ce n’est pas ça ?
Le LDAP, c’est un annuaire qui permet de stocker les utilisateurs d’une entreprise, certains attribut et leur mot de passe. Un LDAP n’est cependant pas capable de “faire” quoi que ce soit tout seul.
C’est là où un IdP moderne devient un véritable “Cerveau” (aka un PDP - Policy Decision Point) qui intègre plusieurs fonctionnalités en complément d’être aussi un annuaire :
SSO - Single Sign-on. Le SSO centralise l'authentification. Au lieu d'avoir des identifiants éparpillés partout, l'utilisateur se connecte une seule fois à l’IdP
MFA - Multi-Factor Authentication. La MFA permet de s’assurer de manière robuste de l’identité de l’accédant
Conditional Access. Avant de fournir l’accès, l’IdP évalue un ensemble de signaux en temps réel (conformité du poste, IP, etc.)
Lifecycle Management. Gestion des Entrées / sorties des utilisateurs de l’entreprise, permettant le provisioning / deprovisioning automatique
Logs & Audit. L’IdP enregistre toutes les tentatives d’accès, et devient donc un élément crucial dans la détection et l’investigation numérique
Le même IdP doit-il gérer à la fois les simples utilisateurs et les administrateurs du système ?
C'est une excellente question que se posent souvent les architectes.
La réponse courte est oui, la centralisation est essentielle pour la visibilité et pour bénéficier des fonctionnalités listées ci-dessus.
Une fois mis en place, vous devez prescrire l'intégration systématique de ce nouvel IdP pour tout élément du Système d’information pour sécuriser à la fois les ressources locales vieillissantes et les applications Cloud modernes (SaaS). Le but est d'éviter que les utilisateurs ne sèment des copies de leurs mots de passe dans de multiples applications, ce qui augmente le risque de vol d’identifiants.
Enfin, assurez-vous de ne pas oublier les identités non-humaines. Les services, les API, les scripts d'automatisation ou les machines virtuelles doivent également posséder une identité gérée par ce pivot central. Remplacez les identifiants statiques par des identités gérées dynamiquement pour éliminer les risques liés aux mots de passe codés en dur dans les scripts.
Exigez une authentification multifacteur (MFA) robuste
Maintenant que toutes vos identités sont centralisées, vous devez les protéger. L’utilisation d’un unique facteur, souvent le mot de passe, est devenue obsolète.Il peut être souvent réutilisé par les utilisateurs, facilement devinable ou tout simplement avoir été volé dans une campagne de phishing. Pour vous protéger de cela, vous devez rendre l'authentification multifacteur (MFA) obligatoire pour tous les accès.
Pour justifier techniquement cette exigence, appuyez-vous sur les niveaux d'assurance d'authentification (AAL) définis par le NIST (SP 800-63B).
Ce standard identifie 3 niveaux d’assurance :
AAL1 - Assurance Faible. Il s’agit d’une authentification à facteur unique (par exemple un mot de passe). À proscrire.
AAL2 - Assurance Haute. Ce niveau impose l’utilisation de 2 facteurs d’authentification, par exemple un mot de passe et un code OTP / notification push (par ex. sur une application de type Google Authenticator). Ce niveau reste cependant vulnérable au phishing. Fortement généralisé en entreprise.
AAL3 - Assurance Très Haute. Ce niveau impose l’utilisation de 2 facteurs d'authentification, mais avec des contraintes pour qu’un des facteurs soit résistant au phishing. En effet, les méthodes d’authentification associées lient cryptographiquement la session de connexion à l'application d'origine, rendant impossible la réutilisation d'un code intercepté par un faux site web. C’est notamment le cas des clés de sécurité physique (Yubikey), qui utilisent le protocole FIDO2 / WebAuthn, ou encore les certificats sur carte à puce. À privilégier, même si cela peut amener des contraintes additionnelles d’expérience utilisateurs et de gestion.
Paramétrez les règles d'accès conditionnel
L'authentification multifacteur est un prérequis à l’application du modèel Zero Trust, mais elle ne suffit pas. En effet, la MFA l’utilisation d’identifiants volés par un attaquant. Cependant, un attaquant pourrait aussi viser le vol de session. Dans un contexte de modèle Zero Trust avec une vérification continue, c’est là où l’accès conditionnel intervient.
Vous devez prescrire l'évaluation du contexte de la demande en temps réel. L'IdP doit collecter et analyser une multitude de signaux :
Quelle est la “santé” de l'appareil utilisé ? (son niveau de mise à jour, son niveau de conformité, etc.)
L'antivirus est-il à jour ?
La localisation de la connexion est-elle habituelle pour ce collaborateur ?
Le comportement de l'utilisateur correspond-il à ses habitudes ou indique-t-il un risque (par exemple, un voyage impossible entre Paris et Tokyo en moins d'une heure) ?
Sur la base de cette évaluation de risque, votre politique doit définir des actions claires et dynamiques :
Autoriser l'accès de façon transparente si tout est normal,
Limiter l'accès (par exemple, autoriser la lecture seule mais bloquer le téléchargement),
Exiger un nouveau défi MFA si un risque modéré est détecté,
Ou bloquer impérativement la connexion si l'appareil est compromis.
Cette approche permet de répondre au premier pilier du Zero Trust :
Vérifier explicitement et systématiquement.
L'identité est constamment réévaluée, garantissant que la confiance n'est jamais accordée par défaut ou de manière permanente, ce qui limite drastiquement les possibilités d'action pour un attaquant qui aurait réussi à voler une session active sur une machine distante.
Appliquez le principe du moindre privilège et la revue des droits
Neutraliser l'usurpation des comptes administrateurs nécessite d'aller plus loin que le MFA robuste : il faut repenser l'attribution même des droits. C'est l'application directe du deuxième pilier du modèle Zero Trust :
L’application stricte du principe du moindre privilège.
Pour contrer spécifiquement les risques de mouvements latéraux identifiés dans votre analyse de risques, vous prescrivez un accès "Juste-à-Temps" (JIT) et "Juste-Assez" (JEA).
En outre, vous devez exiger des revues d'accès périodiques et systématiques, tout particulièrement pour ces comptes à privilèges. Les droits accumulés au fil des années doivent être audités et supprimés s'ils ne sont plus pertinents.
Enfin, formalisez et documentez vos processus d’entrée, de sortie et de mobilité interne de vos collaborateurs, en incluant des délais stricts et des mécanismes de coupure des accès rapides.
Un compte non supprimé est une porte d'entrée inespérée pour un cybercriminel. Automatisez ces processus dès que possible pour garantir que le système d'information reflète toujours et en temps réel la réalité des effectifs de l'entreprise.
Adoptez une posture de prescripteur
En tant que Responsable de la Sécurité des Systèmes d'Information (RSSI), vous êtes le garant de la stratégie de sécurité de l'entreprise.
Dans votre position, il est crucial de concentrer vos efforts sur l'exigence des résultats de sécurité (le "quoi") plutôt que sur l'implémentation technique précise (le "comment"). Par exemple, vous devez exiger que toute session d'administration requière un jeton FIDO2, mais vous ne devez pas rédiger le tutoriel expliquant comment cliquer dans les menus de la console Microsoft Entra ID ou comment configurer les règles iptables d'un pare-feu.
Déléguez l'exécution approfondie aux équipes opérationnelles, comme les architectes réseau ou les experts de la gestion des identités et des accès (IAM). Cette séparation des tâches est vitale. Elle vous permet de conserver une vision stratégique et globale, de vérifier que l'implémentation répond à vos exigences initiales, et de concentrer votre énergie sur l'évaluation en continu de l'efficacité de votre architecture Zero Trust.
En assumant ce rôle de gouvernance, vous garantissez la cohérence de la sécurité face à l'évolution constante des cybermenaces.
À vous de jouer !
Contexte
L'équipe Gestion des Identités et des Accès (IAM) s'apprête à configurer le nouveau fournisseur d'identité (IdP) central pour vos 500 collaborateurs. Dans ce contexte, trois types de populations aux niveaux de risques différents doivent être gérés : les Administrateurs (fort pouvoir de destruction), les VIP (Comex et direction, cibles privilégiées du phishing), et les Utilisateurs standards.
Face à la complexité technique, l'équipe IAM vient vous voir. Elle a besoin de directives métier claires, sous forme de prescriptions, pour déterminer ce qui est acceptable ou non en matière de règles d'accès conditionnel et de gestion du cycle de vie.
Consignes
En tant que RSSI, rédigez une politique IAM prescriptive d'une page (sous forme de synthèse) répondant spécifiquement aux risques d'usurpation d'identité identifiés dans votre analyse de risques.
Vous devez définir vos exigences concernant l'authentification multifacteur (MFA), les conditions d'accès selon le type d'appareil, et les délais de revue et de révocation des droits pour ces trois populations.
En résumé
Le modèle périmétrique étant caduc, vous devez centraliser l'ensemble de vos accès, qu'ils soient locaux ou cloud, vers un unique Fournisseur d'Identité (IdP) qui agira comme pivot de confiance.
Une authentification multifacteur (MFA) robuste, basée sur les standards du NIST (AAL2/AAL3), est obligatoire ; les méthodes vulnérables au phishing et à l'interception comme le SMS sont à proscrire.
Le contrôle d'accès conditionnel garantit l'application du principe Zero Trust de vérification explicite en évaluant dynamiquement le contexte de chaque connexion avant de l'autoriser.
La réduction de la surface d'attaque impose la mise en place d'un accès Juste-à-Temps (JIT) pour éliminer les privilèges administrateurs permanents et exige une revue régulière des droits.
Le rôle du RSSI évolue vers une posture de prescripteur stratégique : il définit le "quoi" (les exigences de sécurité) et délègue le "comment" (l'implémentation technique) aux équipes opérationnelles.
Maintenant que vous avez sécurisé la porte d'entrée en faisant de l'identité votre nouveau périmètre, votre prochaine étape consistera à adapter ces défenses aux différentes réalités de vos infrastructures hébergées.
Rejoignez-moi dans le chapitre suivant pour apprendre à décliner vos exigences selon chaque modèle de service.
