Éliminer le mouvement latéral de l'identité (Initiative pour un avenir sécurisé)

Nom du pilier : Protéger les locataires et isoler les systèmes de production
Nom du modèle : Élimination du mouvement latéral des identités

L'élimination du mouvement latéral de l'identité est au cœur de la protection des locataires et de l'isolation des systèmes de production dans le cadre de l'initiative SFI (Secure Future Initiative). Ce pilier se concentre sur la réduction de l’impact potentiel des incidents de sécurité par le biais d’une isolation, d’une segmentation et d’une réduction de la surface d’attaque.

Contexte et problème

Le mouvement latéral d’identité est une tactique utilisée par les acteurs de menace pour exploiter les informations d’identification compromises pour pivoter entre les systèmes et élever les privilèges. Contrairement aux attaques par force brute ou aux attaques basées sur des programmes malveillants, le mouvement latéral basé sur l’identité peut se mélanger avec le comportement légitime de l’utilisateur, ce qui rend difficile la détection et encore plus difficile à arrêter sans accès fort à la gouvernance.

Les attaques récentes, telles que le Blizzard de Minuit, ont montré comment le mouvement latéral peut être activé par le biais de comptes négligés, d’accès invité externe ou de points de pivot créés par des applications Entra mutualisées. Ces scénarios contournent les défenses traditionnelles et permettent aux acteurs de menace de se déplacer entre les limites de l’organisation.

Une fois à l’intérieur, les attaquants sont souvent :

Cibler des comptes privilégiés pour augmenter l’accès
Passer d’un locataire à l’autre à l’aide d’informations d’identification partagées
Abuser des autorisations d’application ou des rôles mal configurés
Rester non détecté en imitant le comportement normal du locataire

Solution

Combinés, les efforts suivants empêchent les comptes ou applications compromis de devenir des tremplins pour le mouvement latéral au sein ou entre les clients :

Création d'une norme de stratification des locataires qui permet à Microsoft de classer les locataires en différentes couches et de déterminer l'orientation valide pour la création des principals de service.
Déplacement de flux de travail et de scénarios de support client vers un locataire dédié afin de réduire le risque de mouvement latéral.
Remplacer les protocoles d'authentification hérités et imposer une authentification à plusieurs facteurs résistante au hameçonnage pour tous les utilisateurs, y compris les comptes invités.
Segmenter l’accès par conformité des appareils, emplacement et niveau de risque à l’aide de stratégies d’accès conditionnel.
Application de privilèges minimum avec les contrôles d’accès en fonction du rôle (RBAC) et l’attribution de rôle liée au temps.
Remplacement des informations d’identification d’application basées sur un mot de passe par des identités managées et un stockage de clés sécurisé.
Blocage de toutes les demandes d’authentification de l’utilisateur invité externe sauf celles explicitement approuvées pour les applications Entra sensibles.

Instructions

Les organisations peuvent adopter un modèle similaire à l’aide des pratiques actionnables suivantes :

Cas d’utilisation	Action recommandée	Ressource
Renforcer l’authentification	Exiger une authentification multifacteur résistante au hameçonnage pour tous les utilisateurs, y compris les invités Bloquer l’authentification héritée et appliquer des stratégies d’accès conditionnel Surveiller le web sombre pour les fuites d’informations d’identification et appliquer l’hygiène des mots de passe pour les utilisateurs	Documentation sur l'accès conditionnel Microsoft Entra
Contrôler l’accès privilégié	Utiliser Microsoft Entra Privileged Identity Management (PIM) pour appliquer un accès au bon moment et suffisant. Implémenter des stations de travail d’administration sécurisées (SAW) pour séparer l’activité d’administrateur de l’utilisation quotidienne Limiter les rôles d’administrateur à des applications, groupes ou locataires spécifiques à l’aide d’unités administratives de gestion restreinte (RMAU)	Qu’est-ce que Microsoft Entra Privileged Identity Management ?
Environnements de segmentation	Séparer les environnements de production et de non-production au niveau du tenant et du dispositif Appliquer la segmentation du réseau dans Azure à l’aide de réseaux virtuels, de sous-réseaux et de groupes de sécurité réseau (NSG) Appliquer des stratégies basées sur le contexte d’identité pour l’accès aux ressources	vue d’ensemble des groupes de sécurité réseau Azure
Atténuer les points de pivot	Préférez les enregistrements d'applications monolocataires lorsque l'accès entre locataires n'est pas nécessaire Passer en revue et restreindre l'accès pour les applications multilocataires et les principaux du service Désactiver le groupe Entra All Users et appliquer les révisions d’accès pour nettoyer les comptes invités	Que sont les révisions d’accès ? Documentation sur la Gouvernance des ID Microsoft Entra
Surveiller et détecter le mouvement	Utiliser Microsoft Sentinel pour détecter l’escalade de privilèges anormales, l’accès aux fichiers ou le comportement d’identité Intégrer les signaux de risque d’Entra ID et l’analytique du comportement des utilisateurs pour la détection précoce des menaces Configurer des alertes pour les consentements d’application externes, les comptes dormants et les modifications soudaines des privilèges	Documentation Microsoft Sentinel

Résultats

Avantages

Chemins de pivot réduits : Les utilisateurs invités et les applications multi-locataires sont strictement délimités et surveillés activement.
Gestion renforcée des accès privilégiés : Les comptes d’administrateur fonctionnent dans des contextes sécurisés (par exemple, stations de travail d’administration sécurisées).
Détection améliorée : Identifiez et surveillez les anomalies comportementales et les événements à haut risque.
Contrôle piloté par la stratégie : Les outils d’accès conditionnel et de gouvernance des identités appliquent la séparation des identités et les limites d’activité.

Compromis

L’implémentation nécessite :

Coordination entre plusieurs équipes de sécurité et d’identité pour appliquer des contrôles d’accès conditionnel et d’application
Application de stratégies d’authentification plus strictes, qui ont affecté les flux de travail d’accès invité et de collaboration
Migration à partir d’applications héritées qui utilisent des mots de passe ou des secrets faibles
Investissement dans les outils de gouvernance pour automatiser les révisions et la gestion du cycle de vie pour les applications, les utilisateurs et l’accès invité

Facteurs clés de réussite

Surveillez les indicateurs de performance clés suivants :

Réduction des utilisateurs invités disposant d’un accès élevé ou de groupe
Nombre de stratégies d’accès conditionnel actives appliquées aux applications et aux rôles d’administrateur
Couverture de l'authentification multifacteur sur tous les types d’identités
Fréquence des événements de réponse aux incidents liés à l’identité
Pourcentage d’actions privilégiées provenant d’appareils sécurisés et segmentés
Volume de tentatives d’authentification interlocataires bloquées

Résumé

Lorsque les acteurs de menace peuvent se déplacer ultérieurement sur le réseau, ils peuvent accéder aux ressources numériques sensibles, aux données de violation et perturber les opérations. À l’aide d’informations d’identification volées, ils peuvent élever leurs privilèges et manipuler des systèmes back-end à des fins malveillantes. Ce type de mouvement latéral est difficile à détecter, car il ressemble à un comportement utilisateur standard.

Commencez à éliminer les voies de mouvement latéral d’identité aujourd’hui, et sécurisez chaque chemin d’accès, application et compte contre les intrusions silencieuses.

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2026-03-27