Logo IS Decisions

Authentification multifacteur et informations d'identification compromises

Protégez votre serveur et votre système Windows contre le phishing et les violations de mot de passe.

Publié le 12 décembre 2021
MFA methods used by organizations

Il est difficile d'empêcher les failles de sécurité dues à des connexions d'utilisateurs compromises. Plutôt que de blâmer les utilisateurs parce qu'ils sont humains, l'authentification multifactorielle (MFA) et la gestion des accès permettent de se protéger contre les attaques basées sur les informations d'identification.

Selon une étude de Mendiant, 9 cyberattaques sur 10 impliquent Active Directory (AD). Et les informations d'identification compromises ou volées sont l'arme de prédilection des acteurs de la menace. L'identification des informations d'identification compromises est donc essentielle pour prévenir les atteintes à la sécurité du réseau. Mais pour les administrateurs d'Active Directory, identifier une activité suspecte alors que l'adversaire dispose d'informations d'identification valides et autorisées est une tâche ardue.

Les utilisateurs sont (généralement) humains ! Ils sont négligents, imparfaits et souvent exploités. Et les attaquants adorent exploiter la naïveté de vos utilisateurs parce que c'est si facile.

Il suffit d'un courriel d'hameçonnage réussi pour persuader un utilisateur de fournir ses données de connexion. Une fois que le pirate s'est introduit dans vos systèmes, vous ne vous en apercevrez probablement que trop tard - après tout, la plupart des systèmes antivirus et périmétriques ne sont pas programmés pour détecter les accès utilisant des données de connexion légitimes. Les fouineurs ont donc tout le loisir de fouiner.

Alors, comment repérer un accès utilisateur illégitime lorsqu'il a déjà été défini comme légitime ?

Se protéger contre la menace des informations d'identification compromises

Tant que les utilisateurs de Windows seront vulnérables aux attaques, les failles de sécurité constitueront une menace. Les entreprises de tous les secteurs d'activité ont de nombreuses possibilités d'améliorer la sécurité d'Active Directory et de renforcer leur position globale en matière de sécurité.

Mais avec l'Active Directory MFA et la gestion des accès, vous disposez d'un moyen infaillible de vous assurer que les utilisateurs AD authentifiés sont bien ceux qu'ils prétendent être. Grâce à ces couches de sécurité supplémentaires, vous pouvez également identifier les comportements risqués des utilisateurs ou les violations de mot de passe et les arrêter avant qu'elles ne vous coûtent du capital, des clients et la réputation de votre entreprise.

Lisez la suite pour savoir comment mieux sécuriser toutes les connexions d'utilisateurs Windows.

Cessez de blâmer vos utilisateurs pour les informations d'identification compromises

La compromission des informations d'identification est à l'origine d'environ la moitié des violations de données. Souvent, c'est l'erreur de l'utilisateur qui est en cause.

Il est facile de rejeter la faute sur les utilisateurs, mais cela ne résoudra pas le problème. La racine du problème se trouve généralement dans la stratégie de sécurité de l'organisation.

Dans les cinq catégories de sécurité AD, les organisations obtiennent régulièrement un score de 71/100, soit à peine un C.

Et 9 mois, c'est le temps moyen qu'il faut aux entreprises pour détecter un intrus dans le réseau lorsqu'il utilise des informations d'identification autorisées.

C'est le signe que les mesures et les solutions de sécurité de l'entreprise ne s'attaquent pas au cœur du problème.

Comment la compromission des informations d'identification se produit-elle ?

Pour mieux comprendre comment résoudre le problème, examinons le problème de la compromission des informations d'identification lui-même. Les utilisateurs finaux mettent souvent le réseau en danger de diverses manières, notamment par les moyens suivants

  • l'hameçonnage

  • Partage de mot de passe

  • Logiciels malveillants d'enregistrement des clés

  • Ingénierie sociale

  • Duplication de mot de passe

  • Base de données piratée contenant les informations d'identification de l'utilisateur

Les utilisateurs sont humains : ils sont imparfaits, négligents et souvent exploités.

Mais en agissant ainsi, vous ne comprenez pas suffisamment le risque qui existe (et existera toujours) de manière inhérente.

La sécurité doit être là pour protéger les utilisateurs contre les comportements négligents et malveillants et pour protéger votre réseau contre les personnes extérieures qui tentent d'y accéder en se faisant passer pour des employés.

5 signes avant-coureurs d'une compromission des données d'identification

Les cinq premiers signes ne sont pas sans raison : ils sont extrêmement courants ! Assurez-vous de disposer d'une solution pour ces signaux d'alerte classiques et vous serez mieux à même de déterminer si quelqu'un s'est introduit dans votre réseau.

  1. Utilisation inhabituelle des ressources : copie, suppression ou déplacement d'un grand nombre de fichiers en masse.

  2. Accès à distance improbable : Tentatives de connexion à partir d'un type de session, d'un lieu ou d'un appareil improbable.

  3. Réinitialisation du mot de passe : Plusieurs tentatives de connexion infructueuses ou réinitialisations de mot de passe.

  4. Changement soudain des heures de travail/bureau : Tentatives de connexion en dehors des heures de travail normales.

  5. Trajets impossibles : Connexions simultanées à partir d'endroits trop éloignés les uns des autres pour avoir un sens, ou connexions séquentielles avec des identifiants différents utilisés à partir d'une session ouverte existante.

Pour un examen plus approfondi des signes les plus courants d'intrusion, lisez cet article sur les 5 principaux signes de compromission.

Il ne fait aucun doute que les administrateurs de sécurité sont confrontés à une tâche ardue lorsqu'ils tentent d'identifier une activité d'accès suspecte alors que l'adversaire dispose d'informations d'identification valides.

Quelle est la solution ? Le MFA se concentre sur la prévention de la menace avant que les dommages ne soient causés : au moment de la connexion. Avec UserLock, vous pouvez également aller au-delà du MFA pour examiner les informations d'accès contextuelles autour de la connexion et arrêter l'accès au réseau, même lorsque les informations d'identification ont été compromises.

4 étapes pour mettre fin à la compromission de l'accès à la connexion

Voici comment cesser de blâmer les utilisateurs et commencer à mieux protéger les connexions des utilisateurs d'Active Directory :

  1. Mettez en œuvre l'authentification à deux facteurs : Ajoutez une couche de protection supplémentaire à tous les comptes d'utilisateurs Windows avec l'authentification à deux facteurs (2FA). Utilisez l'authentification à deux facteurs avec des méthodes sécurisées basées sur des mots de passe à usage unique basés sur le temps (TOTP) et des mots de passe à usage unique basés sur le hachage (HOTP), telles que les jetons et les clés matérielles, les notifications Push et les applications d'authentification.

  2. Définir des restrictions d'accès contextuelles : Définissez des politiques d'accès contextuelles pour autoriser ou refuser automatiquement une demande de connexion. Vous pouvez définir des restrictions en fonction de l'emplacement, de l'adresse IP, de la machine, de l'heure, du nombre de sessions simultanées ou du nombre de points d'accès initiaux. À tout moment, vous pouvez modifier et appliquer tous les changements en temps réel, avec effet immédiat.

  3. Surveillez l'activité de connexion des utilisateurs de Windows en temps réel : Déterminez quels utilisateurs se connectent à partir de quel poste de travail ou de quel appareil, et à quel moment.

  4. Définissez des alertes personnalisées pour l'activité de connexion : Définissez des alertes personnalisées sur des événements de connexion spécifiques afin de détecter immédiatement toute activité suspecte, telle que la compromission d'un identifiant, et de bloquer l'accès au réseau.

Protégez-vous contre la compromission des informations d'identification grâce à une gestion complète de l'accès et de la MFA

Il y a plusieurs années, IS Decisions a mené une étude approfondie sur les priorités en matière de sécurité d'accès de 500 responsables de la sécurité informatique aux États-Unis et au Royaume-Uni.

Pour l'essentiel, la principale préoccupation des services informatiques reste de trouver le bon équilibre entre l'ajout de couches de sécurité supplémentaires et la nécessité d'éviter la frustration de l'utilisateur final ou le ralentissement de la productivité.

Renforcer la sécurité des utilisateurs pour prévenir les attaques utilisant des informations d'identification compromises peut souvent entraîner des processus de sécurité complexes, coûteux et perturbateurs. Naturellement, ce sont les raisons mêmes pour lesquelles les solutions MFA sont, malheureusement, souvent considérées comme difficiles à mettre en œuvre.

Heureusement, les responsables informatiques disposent d'un meilleur moyen d'éviter une violation due à des informations d'identification compromises : une combinaison de MFA granulaire et de contrôles d'accès contextuels qui peuvent être facilement personnalisés pour chaque employé, ce qui permet de trouver un équilibre entre la productivité et la sécurité de l'utilisateur.

XFacebookLinkedIn

Essayez UserLock gratuitement

Plus de 3400 organisations comme la vôtre utilisent UserLock pour sécuriser les accès des identités Active Directory et répondre aux exigences de conformité.

Télécharger une version d'essai gratuite