Le problème : la dégradation de l’assurance
La dégradation de l’assurance est un risque de sécurité qui augmente au cours d’une session utilisateur active, même après une connexion sécurisée réussie. Bien que les modèles de sécurité traditionnels soient efficaces au point d’entrée, ils perdent en visibilité une fois qu’un utilisateur est connecté. Un token de session valide, une fois émis, devient une cible intéressante pour les attaquants.
Les menaces sophistiquées telles que le détournement de session peuvent contourner complètement l’authentification, sans que nous détections les activités malveillantes qui peuvent survenir quelques minutes ou quelques heures après une connexion légitime. Plus de 80 % de toutes les brèches de données sont liées à des attaques contre l’identité, et nous savions que nous ne pouvions pas nous permettre d’ignorer cette montée des menaces post‑authentification.
Cette prise de conscience a été le catalyseur du parcours d’Okta. Nous avons compris que notre engagement envers la sécurité rigoureuse des identités, pierre angulaire de notre stratégie de sécurité globale, devait s’étendre au-delà de l’invite de connexion. Notre ambition était de trouver une solution qui pourrait non seulement appliquer les politiques au point d’accès, mais conserver également un niveau de confiance continu tout au long de chaque session utilisateur. Nous avons trouvé réponse dans Okta Identity Threat Protection avec Okta AI, un élément clé de notre initiative Secure Identity Commitment.
La solution : Identity Threat Protection
Okta Identity Threat Protection était la pièce manquante de notre puzzle de sécurité. Il unifie les informations sur les risques, évalue en permanence les menaces et y répond en temps réel, pendant et après la connexion. Son intégration native au sein d’Okta Identity Cloud lui confère la capacité unique de surveiller le comportement des utilisateurs au niveau du point de contrôle le plus critique : l’identité.
Nous avons résolu facilement notre problème de dégradation de l’assurance grâce aux capacités fondamentales du produit. Trois fonctionnalités ont été particulièrement décisives :
- Évaluation continue du contexte : cette fonctionnalité repose sur le principe que la confiance n’est pas statique ; elle évalue en permanence les risques et le contexte de l’utilisateur tout au long d’une session active. Bien au-delà d’une simple vérification au moment de la connexion, elle surveille en temps réel les changements de zones réseau, de contexte de terminal et de comportement de l’utilisateur, même lorsque ce dernier n’interagit pas activement avec Okta. Pour ce faire, nous avons compris qu’il était essentiel de configurer correctement les zones réseau, les politiques de session et les politiques d’authentification.
- Surveillance des risques liés aux entités : le risque lié à une entité fait référence au niveau de risque d’un utilisateur sur l’ensemble des terminaux, sessions et applications. La politique de risque d’entité surveille les changements de niveau de risque utilisateur liés aux menaces d’identité, telles que le détournement de session, les attaques par force brute et les connexions à partir d’adresses IP à haut risque. Dans le cadre de la politique de risque d’entité, vous pouvez configurer des actions spécifiques à entreprendre lorsque le score de risque d’un utilisateur passe à un niveau élevé ou moyen.
- Réponse précise aux risques : il s’agit d’un paramètre Universal Logout permettant de mettre fin à une session utilisateur active pour toutes les applications prises en charge en réponse à des menaces d’identité. Cette fonctionnalité garantit que le compte d’un utilisateur est bloqué en cas de menace, par exemple un acteur malveillant détournant la session d’un utilisateur, un employé en cours de licenciement, des changements dans le niveau de risque d’un utilisateur, un terminal perdu, une menace interne ou une compromission d’identifiants.
Ensemble, ces fonctionnalités permettent de déployer une protection active en permanence, qui protège les sessions des utilisateurs contre les attaques sophistiquées post‑authentification, en soutien à notre engagement en faveur d’une identité sécurisée.
Notre déploiement d’Okta Identity Threat Protection a été un parcours stratégique et graduel, passant méthodiquement du stade de la surveillance et de l’observation au stade d’implémentation proactive. Cette approche progressive nous a permis de renforcer notre confiance dans les capacités du produit et d’adapter ses réponses à notre environnement spécifique.
Phase 1 – Démarrage et configuration de base
Nous avons entamé notre parcours de renforcement de la sécurité en préparant notre environnement à la protection dynamique offerte par la solution Identity Threat Protection. Cette démarche a commencé par un examen approfondi de nos configurations de sécurité fondamentales, notamment les zones réseau, les sessions globales et les politiques d’authentification. Notre objectif était de nous assurer que ces contrôles étaient suffisamment robustes pour prendre en charge la collecte de données en temps réel et les évaluations de stratégies qu’exige Identity Threat Protection.
Notre posture de sécurité fondamentale comprenait des mesures clés telles que la mise en place d’un VPN obligatoire pour tous les collaborateurs et le déploiement de configurations de terminaux gérés pour les appareils macOS, Windows, iOS et Android. Nous avons également déployé Okta FastPass comme principal authentificateur résistant au phishing. En intégrant les indicateurs de confiance de nos solutions EDR, nos processus de connexion sont désormais plus sécurisés et continuellement évalués en termes de risques.
Phase 2 – Apprentissage et planification
Une fois nos contrôles fondamentaux en place, notre objectif principal était d’observer et d’apprendre, sans rien implémenter de neuf. Nous avons déployé Identity Threat Protection en mode surveillance uniquement et l’avons configuré pour qu’il collecte et analyse les signaux des sessions utilisateurs, sans prendre de mesures automatisées. Cette approche nous a permis d’analyser les événements de détection des risques et de comprendre les types de menaces auxquelles nos utilisateurs étaient confrontés post-authentification. Nous pouvions observer dans notre journal système et notre tableau de bord administrateur lorsqu’une adresse IP changeait en cours de session ou lorsque la posture du terminal d’un utilisateur se détériorait.
Phase 3 – Implémentation
Une fois que nous avons compris notre paysage de menaces particulier et que nous étions confiants dans la capacité du système à les détecter, nous sommes passés à la phase d’implémentation. Nous avons alors pris des mesures concrètes. Pour les menaces à haut risque, nous avons configuré la réponse automatisée la plus radicale : Universal Logout. Nous avons identifié quelques applications clés à haut risque qui prenaient en charge Universal Logout et avons déployé la politique pour celles-ci.
Lorsqu’Identity Threat Protection détectait une menace confirmée, telle qu’une relecture de cookie de session, le système mettait automatiquement fin à toutes les sessions de l’utilisateur sur tous les terminaux connectés et toutes les applications prises en charge. Cela a changé la donne, puisque ce mécanisme éliminait le besoin d’une réponse manuelle et chronophage à une brèche potentielle.
Notre parcours par étapes du monitoring au déploiement, sur la base de nos données d’analyse, a permis une transition fluide et maximisé la valeur de notre implémentation Identity Threat Protection.
Les enseignements tirés
En vertu de notre expérience, nous avons tiré divers enseignements clés en matière d’implémentation technique et de communication concernant le déploiement d’Okta Identity Threat Protection.
Conseils techniques
- Rôles administrateurs personnalisés : créez un rôle administrateur personnalisé pour Identity Threat Protection que vous attribuez à votre équipe de cyberdéfense. De cette manière, cette équipe disposera des autorisations spécifiques nécessaires pour gérer la solution, sans recevoir de droits d’accès inutiles à d’autres fonctionnalités d’administration Okta.
- Réponse automatisée aux événements à haut risque : configurez une politique qui déconnecte immédiatement l’utilisateur lorsque le score de risque d’une entité passe à « Élevé ». Il s’agit d’une étape essentielle pour neutraliser une menace potentielle. Journalisation et examen des événements à risque moyen : lorsque le score de risque d’entité passe à « Moyen », assurez-vous que les événements concernés sont méticuleusement consignés pour que votre équipe sécurité puisse les examiner. Bien qu’ils n’exigent pas un verrouillage immédiat, les événements de ce type sont souvent des précurseurs d’attaques plus graves.
- Analyse des rapports de risque d’entité : le rapport de risque d’entité est un outil essentiel pour les administrateurs Okta et Identity Threat Protection. L’examen régulier de ce rapport est essentiel pour comprendre la posture générale de votre entreprise en matière de risques et pour identifier les menaces émergentes.
Communication avec les parties prenantes
Communication proactive : informer efficacement les parties prenantes internes, tant avant que pendant l’implémentation d’Identity Threat Protection, est crucial. Une communication proactive évite la confusion et permet aux divers départements de l’entreprise de comprendre les raisons qui sous-tendent certaines actions, telles que les déconnexions automatiques.
Impact : valeur métier réalisée
Grâce à Okta Identity Threat Protection, nous avons comblé le vide de sécurité laissé par la dégradation de l’assurance et réalisé une valeur métier significative et mesurable. Notre posture de sécurité est désormais proactive et continue, au-delà de l’authentification initiale.
L’association idéale : Identity Security Posture Management et Okta Identity Threat Protection
Nous travaillons constamment à améliorer notre infrastructure de sécurité afin de protéger notre entreprise et nos utilisateurs. Un élément central de cet effort est une stratégie robuste de gestion des identités et des accès. Nous estimons que la sécurité ne consiste pas seulement à réagir aux menaces, mais à construire de manière proactive une défense solide.
C’est pourquoi nous allons adopter la solution Okta Identity Security Posture Management d’Okta, une initiative qui constitue une avancée majeure dans notre parcours global de sécurité. Okta Identity Security Posture Management fonctionne de concert avec Okta Identity Threat Protection, une solution que nous utilisons déjà.
Alors qu’Identity Threat Protection est conçu pour détecter et contrer les menaces d’identité en temps réel, Identity Security Posture Management se concentre sur la prévention des conditions qui permettent à de telles attaques de réussir.
Advanced Posture Checks : détection du phishing FastPass
Pour renforcer notre défense proactive contre le phishing, nous prévoyons d’intégrer une nouvelle fonctionnalité de détection pour Identity Threat Protection, qui identifiera les tentatives de connexion suspectes provenant d’adresses IP signalées lors de campagnes de phishing précédentes. L’équipe sécurité évaluera et déploiera cette fonctionnalité pour renforcer notre posture de sécurité des identités.
Vous souhaitez reproduire le processus Okta ? Consultez notre guide de configuration pour Identity Threat Protection.
