Okta Identity Security Posture Management et Workflows : Détection et correction automatisées des comptes locaux

Dans un précédent article de blog sur Okta Identity Security Posture Management, nous avons abordé les défis et les solutions potentielles auxquels les entreprises sont confrontées en matière de gestion et de sécurité des comptes locaux. Aujourd'hui, nous allons examiner un exemple de solution pour les équipes de sécurité, quelle que soit l'application qui crée des utilisateurs locaux.

Ce que nous allons expliquer repose sur un processus en deux étapes :

1. Okta Identity Security Posture Management détecte les comptes locaux, corrèle leurs risques et hiérarchise la correction de ceux qui comptent le plus.
2. Okta Workflows permet la correction automatique avec des modèles et des connecteurs prédéfinis flexibles.

La priorisation est essentielle.

Les équipes de sécurité sont submergées par des milliers d'alertes provenant de plusieurs outils chaque jour. Les équipes IT risquent d'être inondées de tickets ouverts par des erreurs de configuration liées à la sécurité qu'elles doivent corriger.

Les alertes varient en termes d’impact, de possibilités d’action et de risque de friction commerciale impliqué dans leur correction. Trop souvent, les équipes de sécurité doivent recourir à des processus manuels qui impliquent de réagir trop tard et de permettre aux attaquants d’entrer avant que le risque ne soit éliminé. 

De plus, un manque d'expertise et d'autorisations nécessaires pour enquêter et corriger les problèmes dans les applications en aval réduit encore davantage la productivité et entraîne un gaspillage de temps et de ressources. C'est pourquoi, parmi tous les problèmes détectés, les équipes de sécurité doivent être habilitées à établir efficacement les priorités, en s'attaquant d'abord aux vulnérabilités les plus critiques et exploitables.

Exemple pratique

Prenons un exemple courant réel appelé « Administrateur Entra ID local non utilisé, sans multifactorielle, ancien mot de passe ». Parmi tous les comptes locaux, les comptes d’utilisateurs privilégiés non utilisés sans authentification multifacteur (MFA) et les anciens mots de passe sont les plus exploitables, présentent des risques plus élevés et sont les plus susceptibles de rendre votre organisation vulnérable. 

Pourquoi ? Examinons ces éléments plus en détail.

• Plus facile à mettre en œuvre : Les comptes inutilisés peuvent être désactivés avec un impact minimal sur les activités de l'entreprise.
• Risque le plus élevé : les comptes privilégiés avec des autorisations d’administrateur peuvent causer des dommages importants et sont très susceptibles d’être exploités.
• Les plus vulnérables : les comptes sans MFA et avec d'anciens mots de passe présentent des voies d'attaque évidentes pour les acteurs malveillants (threat actors).

La façon de corriger est assez simple, avec deux alternatives disponibles. 

1. Concentrez-vous sur l’utilisateur à risque et réduisez les risques en désactivant immédiatement le compte local, en supprimant les autorisations privilégiées et en réinitialisant le mot de passe.  
2. Adoptez une approche plus systémique en créant une campagne de revue d'accès (pour déterminer si l'accès doit être rétabli) ou remplacez le compte local par un compte d'utilisateur fédéré Okta et appliquez l'authentification MFA.

Voyons maintenant comment une telle approche peut être mise en œuvre à l'aide de la plateforme Okta dans une étude de cas fictive.

Procédure pas à pas : Détection et correction automatique avec Okta Identity Security Posture Management et Workflows

Étude de cas fictive : ACME Corp

Ali, une employée d’ACME Corp, a créé un compte local dans Microsoft Entra ID avec le rôle d’administrateur d’application. Après une transition vers un nouveau rôle il y a trois mois, son compte a été laissé inutilisé et vulnérable :

1. L'authentification unique n'est pas appliquée : Le compte d'Ali permettait de se connecter avec un nom d'utilisateur et un mot de passe au lieu d'utiliser des méthodes sans mot de passe comme FastPass.
2. Absence de politiques de sécurité centralisées : L’authentification MFA n’était pas requise pour son compte.
3. Informations d’identification obsolètes : Le mot de passe n’avait pas été mis à jour depuis des mois.
4. Accès privilégié : Les autorisations d'administrateur d'Ali lui ont permis de créer des applications avec accès aux données sensibles des utilisateurs.

Ce contexte est loin d'être idéal du point de vue de la sécurité de l'identité.

Le point de vue de l’attaquant

Un attaquant potentiel pourrait exploiter le compte local d’Ali en tirant parti de ses autorisations d’administrateur pour créer des applications malveillantes, accéder à des données sensibles ou compromettre d’autres comptes d’utilisateurs, ce qui compromettrait considérablement la sécurité organisationnelle.

Renforcement de la posture de sécurité d’identité d’ACME

L'équipe de sécurité d'ACME déploie Okta Identity Security Posture Management. L'intégration à Microsoft Entra ID permet des mises à jour continues de l'inventaire d'identités, y compris le compte d'utilisateur local d'Ali (ali.lesch@acme.onmicrosoft.com). L'équipe a également configuré Okta Identity Security Posture Management et la plate-forme principale Okta pour se connecter via Workflows à l'aide de webhooks.

La solution met en corrélation l’accès, les autorisations et la posture de sécurité d’Ali, confirmant :

• Ce compte est local et appartient à Ali.
• Le compte est inutilisé.
• L'authentification multifacteur (MFA) n'est pas configurée.
• Le mot de passe est obsolète et apparaît dans les listes de mots de passe divulgués.
• Le compte possède des privilèges d’administrateur.

Lors de la détection, une alerte intitulée « Administrateur non utilisé, sans MFA, avec ancien mot de passe » est déclenchée.

• Un hook d’événement intitulé « Correction des utilisateurs locaux » active un flux de travail automatisé : le flux de travail désactive automatiquement le compte local d’Ali dans Entra ID. 
• Le problème est ensuite résolu, ce qui atténue les risques potentiels.

Cet exemple simple illustre la capacité d'Okta Identity Security Posture Management à identifier les utilisateurs à haut risque et à hiérarchiser la correction. Il montre également l'aspect exploitable de la solution et son intégration profonde avec la plateforme Okta. Notez que la correction automatisée ne se limite pas aux applications Okta. Nos clients peuvent s'intégrer à leurs propres solutions à l'aide de webhooks.

Vue d'ensemble : Engagement d'Okta en matière de sécurité de l'identité

En utilisant Okta Identity Security Posture Management pour détecter et corréler les risques, combiné à Okta Workflows pour la correction automatisée, les équipes de sécurité peuvent réduire les risques efficacement et immédiatement.

Okta Identity Security Posture Management fait partie de l'Engagement d'Okta en matière de sécurité de l'identité — le plan à long terme d'Okta pour mener la lutte contre les attaques d'identité. Nous fournissons aux clients les produits et services dont ils ont besoin pour sécuriser l'identité dans le paysage des menaces en constante évolution d'aujourd'hui.

Nous sommes là pour vous aider, alors n'hésitez pas à contacter votre chef de produit pour voir comment Okta Identity Security Posture Management peut influencer votre capacité à gérer votre posture de sécurité des identités et à réduire votre risque de violation.