80 % des attaques informatiques passent par l’identité.

La cybersécurité doit devenir beaucoup plus proactive.

La bonne gestion de la surface d’attaque interne d’une organisation commence par la bonne gestion des politiques d’accès et de configurations des identités. Quelques statistiques le démontrent : 94 % des actifs critiques d’une organisation peuvent être compromis en quatre mouvements ou moins par des attaquants. C’est énorme surtout quand on sait qu’une brèche prend en moyenne 62 minutes pour être exploitée par un attaquant en 2024. 

La détection, c’est bien, mais il y a beaucoup de faux positifs. Il faut beaucoup de ressources pour exploiter les alertes et identifier les vraies alertes des fausses alertes. « La cybersécurité doit devenir beaucoup plus proactive », nous explique Olivier Eyries, Co-fondateur de Saporo. La gestion des accès aux identités numériques, la formation, la politique de mots de passe et autres bonnes pratiques de gouvernance du système d’information sont à privilégier par les directions informatiques et de cybersécurité.

Pour ces raisons, être en mesure de comprendre sa résistance au risque, sa situation en termes de segmentation des identités critiques est très importante pour commencer l’assainissement de ses environnements comme l’Active Directory, Azure, Google Cloud, AWS et autres grands gestionnaires d’identités. 

Dans une organisation qui a un petit nombre d’utilisateurs, il est plus facile de contrôler les identités et les accès. Néanmoins, il faut se méfier de la dette ou du « legacy », à savoir des identités et permissions créées au fil du temps et oubliées qui constitue de vraies vulnérabilités. 

Dans une grande organisation c’est beaucoup plus compliqué à gérer : beaucoup d’utilisateurs et de machines, de nombreuses applications, des entités connectées à travers le monde, des mouvements entrées – sorties, utilisateurs temporaires, utilisateurs extérieurs (sous-traitants, consultants…),  il faut donc : 

• une gestion centralisée, 
• créer des fonctions (par exemple Ressources humaines, en charge des paies), 
• des rôles (quelles opérations sont autorisées, par qui), 
• et bien segmenter par de la mise en place de Tiering. 

« On trouve régulièrement des accès massifs d’utilisateurs qui ne devraient pas en avoir vers des FileShares ou SharePoint dans lesquels se trouvent des documents confidentiels ou des données personnelles. La gestion des accès privilégiés pour contrôler et surveiller l’accès aux comptes, applications et systèmes est évidemment critique, et doit être confiée à des personnes de confiance ! »

Différentes technologies permettent de gérer les accès : Microsoft Active Directory (AD) qui organise à la fois les utilisateurs, les postes de travail (par exemple les ordinateurs et imprimantes),  les services (par exemple la messagerie), ou encore les outils fournis par Okta, ou AWS.

Mais c’est d’autant plus difficile que la configuration de ces outils est complexe, pour les raisons suivantes :  la taille et l’interconnexion de ces périmètres, les systèmes parfois anciens, l’inventaire imparfait des « ressources » IT, utilisateurs, et données. 

« Partir d’une feuille blanche serait plus facile mais la dette est là et doit être sécurisée. Certains dirigeants pensent que migrer sur le cloud permettra d’effacer ces problèmes mais c’est tout le contraire », explique Olivier Eyries, CEO de Saporo. Les organisations du monde entier passent d’une logique On-premise à une logique hybride pour des raisons diverses et cela fait exploser la taille de la surface d’attaque. 

Pour être pragmatique, la solution développée par Saporo (Prix Coup de cœur du Prix de la Startup du Forum InCyber 2024) est de cartographier tous les chemins d’accès (ou d’attaque !) dans l’environnement informatique de l’organisation, en visualisant tous les points d’entrée, et les permissions, et en se concentrant en priorité sur les données et systèmes critiques.

Saporo permet de cartographier et de visualiser tous les chemins d’attaques en privilégiant les utilisateurs sensibles, ayant accès à des données ou systèmes sensibles. Lorsque des anomalies sont identifiées (une personne a un accès qui ne devrait pas être autorisé), la correction peut être apportée immédiatement.

Saporo fonctionne soit sur ses propres infrastructures, soit sur celles de ses clients. Petit plus pour les acteurs préférant des solutions souveraines plutôt qu’américaines, Saporo a été créée en Suisse, et est la seule solution européenne sur ce marché de niche ! Olivier Eyries, son fondateur, s’engage en faveur d’une législation suisse et européenne plus souveraine en matière d’innovation et de sécurité.