Pendant longtemps, la cybersécurité reposait sur un modèle simple : protéger le réseau et les postes.
Aujourd’hui, les attaques passent par les identités. Active Directory, Entra ID (ex Azure AD), comptes utilisateurs, comptes de service… Ces éléments sont devenus la colonne vertébrale du système d’information et pour les attaquants, la porte d’entrée idéale.
Active Directory et Entra ID : le cœur du système d’information
Dans la majorité des entreprises, deux briques structurent les identités :
- Active Directory pour les environnements internes
- Entra ID (anciennement Azure AD) pour les environnements cloud
Ces annuaires centralisent :
- les comptes utilisateurs
- les droits d’accès
- les groupes
- les politiques de sécurité
Concrètement : un compte = une clé d’entrée sur le SI
Et dans beaucoup de cas : trop de comptes, trop de droits, pas assez de contrôle.
Les attaques modernes ciblent directement les identités
Les attaques ont évolué. Elles ne cherchent plus à exploiter uniquement une faille technique. Elles exploitent :
- les identifiants
- les privilèges
- les mauvaises configurations de l’annuaire
Aujourd’hui :
- une majorité des attaques sont malware-free
- les attaquants utilisent des comptes valides
- les accès légitimes deviennent le vecteur principal
C’est notamment ce qui se produit dans les attaques par phishing
→ Phishing ciblé dirigeants : comment les décideurs se font piéger
→ Phishing ciblé dirigeants : comment les décideurs se font piéger
Ce qui se passe après une compromission
Une fois un compte compromis, l’attaque commence réellement.
Escalade de privilèges
L’attaquant cherche à :
- devenir administrateur
- accéder à d’autres comptes
- exploiter les droits existants
Mouvements latéraux
Depuis Active Directory ou Entra ID :
- accès à d’autres machines
- exploitation de groupes
- propagation silencieuse
Accès aux ressources critiques
- fichiers
- messagerie
- applications métiers
Dans la pratique, cette phase se matérialise rapidement sur les endpoints.
→ Sécurité des postes et serveurs : pourquoi ils sont au cœur des compromissions
→ Sécurité des postes et serveurs : pourquoi ils sont au cœur des compromissions
Attaque finale
- exfiltration de données
- ransomware
- sabotage
Le problème : les identités ne sont pas surveillées
Dans la majorité des PME :
- les comptes sont créés… mais peu audités
- les droits évoluent… mais ne sont pas contrôlés
- les connexions existent… mais ne sont pas analysées
Résultat : une surface d’attaque critique… mais invisible.
ITDR : une réponse adaptée aux attaques modernes
L’ITDR (Identity Threat Detection & Response) a été conçu pour répondre à ce problème.
Son rôle : surveiller en continu l’utilisation des identités
Contrairement aux approches classiques :
- il ne se limite pas à protéger un accès
- il analyse ce qui se passe après la connexion
Ce que couvre réellement un ITDR
Surveillance de l’annuaire
- Active Directory
- Entra ID
- comptes utilisateurs
- comptes à privilèges
Analyse en continu de :
- connexions
- élévations de droits
- modifications de groupes
- comportements anormaux
Détection des attaques invisibles
Un ITDR permet d’identifier :
- utilisation d’identifiants compromis
- connexions inhabituelles
- mouvements latéraux
- accès incohérents
Là où tout semble normal… il détecte l’anormal.
Réaction automatique
Un ITDR peut déclencher des actions :
- blocage d’un compte
- imposition du MFA
- révocation de session
- application de règles conditionnelles
Et surtout : le faire en temps réel.
Pourquoi le MFA ne suffit pas
Le MFA reste indispensable mais :
- il peut être contourné (fatigue MFA, phishing avancé)
- il ne détecte pas les comportements anormaux
- il n’analyse pas les usages
Le MFA protège l’accès, l’ITDR protège l’usage de l’accès.
ITDR + EDR + SOC : une couverture complète
Une approche efficace repose sur 3 briques complémentaires :
EDR
→ protège les postes
ITDR
→ protège les identités
SOC
→ supervise l’ensemble : SOC cybersécurité PME : à quoi ça sert vraiment
Ensemble :
→ cohérence
→ visibilité
→ capacité de réaction
→ visibilité
→ capacité de réaction
Pourquoi c’est particulièrement critique pour les PME
Les PME cumulent souvent :
- forte dépendance à Microsoft 365
- accès distants
- peu de supervision
- ressources limitées
Résultat : les identités deviennent le point d’entrée le plus simple et souvent le moins surveillé.
Ce qu’il faut retenir
La cybersécurité ne se joue plus uniquement sur les machines ou le réseau. Elle se joue sur : qui se connecte, avec quels droits, et comment ces accès sont utilisés
Active Directory et Entra ID ne sont plus seulement des outils d’administration. Ce sont devenus des zones critiques à surveiller en permanence.
Dans ce contexte, l’ITDR apporte une réponse concrète : détecter les attaques que les autres outils ne voient pas. Et dans les cyberattaques modernes, c’est souvent là que tout se joue.