Qu’est-ce que l’Identity Security Posture Management (ISPM) ?

Les identités – qu’elles soient humaines, machines ou applicatives – sont devenues le nouveau périmètre de la cybersécurité. L’Identity Security Posture Management (gestion de la posture de sécurité des identités ou ISPM) est un cadre essentiel pour sécuriser de manière proactive les points d’accès afin de minimiser les risques tels que l’abus d’identifiants, les erreurs de configuration et les privilèges non autorisés.

Avec un marché de l’ISPM qui devrait passer de 13,7 milliards de dollars en 2024 à 33,1 milliards de dollars d’ici 2029, les organisations privilégient les solutions qui automatisent la gouvernance des identités et appliquent une visibilité en temps réel dans des environnements hybrides. Chez Proofpoint, l’intégration des principes de l’ISPM aide les entreprises à transformer la sécurité des identités d’un défi réactif en un avantage stratégique – garantissant une résilience face aux menaces évolutives tout en maintenant la conformité et l’agilité opérationnelle.

L’Identity Security Posture Management est un cadre de cybersécurité proactif qui évalue, surveille et optimise en continu les identités numériques d’une organisation afin de prévenir les accès non autorisés et de réduire les risques tels que le vol d’identifiants ou l’abus de privilèges.

Contrairement à la sécurité traditionnelle fondée sur le périmètre, l’ISPM considère les identités comme la principale surface d’attaque, en appliquant des principes tels que le Zero Trust et le moindre privilège pour réduire l’exposition dans des environnements hybrides ou multi-cloud. En automatisant la gouvernance des identités, en détectant les erreurs de configuration et en analysant les schémas d’accès, l’ISPM comble les lacunes de visibilité entre les fournisseurs d’identité (IDP) fragmentés et garantit la conformité avec des réglementations en constante évolution comme le NIST et le RGPD.

L’urgence de l’ISPM découle de la complexité croissante de l’informatique moderne : 75 % des entreprises gèrent désormais des identités via plusieurs fournisseurs d’identité, créant ainsi des chaînes de permissions toxiques et des comptes orphelins. Avec une croissance rapide attendue dans les années à venir, l’ISPM devient une priorité pour les organisations qui souhaitent unifier l’analyse des identités, la détection des menaces en temps réel et l’authentification adaptative. Ce changement transforme la sécurité des identités, passant d’une tâche de conformité réactive à un pilier stratégique de résilience, permettant aux entreprises de sécuriser des équipes distribuées et des architectures « cloud-first » sans compromettre l’agilité opérationnelle.

« Lorsqu’on observe la chaîne d’attaque dans son ensemble, il est clair que les identités jouent un rôle central dans les cyberattaques. Par conséquent, les défenseurs doivent concentrer leurs efforts sur la protection proactive de ces identités pour éviter des incidents similaires », comme l’ont souligné Ryan Kalember, EVP Cybersecurity Strategy, et Tim Choi, GVP Product Marketing de Proofpoint, dans un article incontournable.

« Si vous voulez empêcher les cybercriminels de faire monter leurs attaques en puissance, vous devez adopter des mesures proactives pour protéger votre entreprise contre les menaces basées sur l’identité. Vous avez également besoin de contrôles de sécurité complets », ajoutent les deux experts de Proofpoint.

Contrairement aux modèles traditionnels fondés sur le périmètre, l’ISPM considère les identités comme la principale surface d’attaque, en ciblant les vulnérabilités telles que le vol d’identifiants, l’abus de privilèges et les erreurs de configuration – qui sont responsables de 80 % des violations actuelles.

Sécuriser les écosystèmes d’identités multi-environnements

L’ISPM unifie la visibilité et la gouvernance dans des environnements informatiques fragmentés, où 75 % des entreprises utilisent plusieurs fournisseurs d’identité (IDPs). Il comble les lacunes entre :

• Environnements cloud : Gère les droits d’accès pour les applications SaaS, les fonctions serverless et les charges de travail multi-cloud afin de prévenir les chaînes de permissions toxiques.
• Systèmes sur site : Protège les infrastructures héritées (comme Active Directory) contre les attaques telles que le Kerberoasting, dont l’occurrence a augmenté de 583 % en 2023.
• Architectures hybrides : Synchronise les politiques d’identité dans des environnements mixtes, garantissant une application cohérente du Zero Trust pour les télétravailleurs et les systèmes distribués.

Une couverture étendue des identités

L’ISPM protège à la fois les identités humaines et non humaines, qui sont de plus en plus ciblées :

• Identités utilisateur : Employés, sous-traitants et fournisseurs tiers avec différents niveaux d’accès.
• Identités machines : Serveurs, objets connectés (IoT) et API qui s’authentifient via des certificats ou des jetons.
• Comptes de service : Comptes automatisés utilisés par les applications, souvent mal gérés en raison de privilèges excessifs.

En cartographiant en continu les relations entre identités, ressources et droits d’accès, l’ISPM détecte les risques tels que les comptes dormants, les administrateurs fantômes et les attaques par bourrage d’identifiants basées sur l’IA.

Alors que la prolifération des identités s’accélère dans les environnements hybrides et multi-cloud, l’ISPM s’appuie sur des piliers fondamentaux pour sécuriser les accès, minimiser les risques et garantir la conformité dans des écosystèmes IT dynamiques.

Visibilité complète des identités

L’ISPM nécessite une visibilité de bout en bout sur toutes les identités humaines, machines et applications, qu’elles résident dans le cloud, sur site ou dans des environnements hybrides. Cela inclut la cartographie des privilèges d’accès, la détection des comptes dormants et l’identification des permissions excessives.

Avec l’usage constant des fournisseurs d’identité (IDP), une visibilité unifiée empêche la formation de chaînes de permissions toxiques et de comptes orphelins, souvent exploités par les attaquants. Des outils comme l’analyse des identités et la découverte automatisée garantissent qu’aucune identité ou point d’accès n’est négligé, comblant les lacunes dans les écosystèmes IT fragmentés.

Évaluation des risques

Des évaluations régulières permettent d’identifier les vulnérabilités telles que les permissions mal configurées, les identifiants exposés et les comptes inactifs. Ces évaluations priorisent les identités à haut risque (ex. : utilisateurs à privilèges) et analysent les chemins d’attaque potentiels que les adversaires pourraient exploiter.

Par exemple, 92 % des organisations ont subi en moyenne six compromissions d’identifiants dues à des attaques de type ingénierie sociale par email en 2023 – d’où la nécessité d’une évaluation proactive des risques et de workflows de remédiation. En simulant des scénarios de compromission et en auditant les droits d’accès, les entreprises réduisent leur exposition aux menaces internes et aux mouvements latéraux.

Surveillance continue

La surveillance en temps réel permet de détecter des anomalies telles que des connexions inhabituelles, des élévations de privilèges ou des accès à des ressources sensibles. L’analyse continue permet d’établir une base comportementale « normale » et de signaler toute déviation, comme des comptes de service compromis ou des mouvements latéraux non autorisés. Étant donné que 80 % des violations impliquent l’usage abusif des identifiants, les alertes automatisées permettent des réponses rapides – comme la révocation d’accès ou le déclenchement de défis MFA – avant que les menaces ne s’aggravent.

Authentification multifactorielle (MFA)

La MFA ajoute des couches critiques à la vérification d’identité, en exigeant plusieurs preuves d’authentification (ex. : mots de passe, biométrie, token). Elle réduit les risques liés au vol d’identifiants, bloquant 99 % des tentatives de piratage et des attaques automatisées.

Les cadres ISPM imposent des politiques MFA adaptatives, telles que l’authentification renforcée pour les transactions à risque élevé ou les accès privilégiés. Pour les équipes à distance, la MFA garantit un accès sécurisé aux applications cloud tout en limitant les points d’entrée non autorisés.

Cloud Infrastructure Entitlement Management (CIEM)

Le CIEM répond à la complexité des environnements multi-cloud en gérant les permissions des identités accédant aux ressources cloud comme les machines virtuelles, bases de données ou fonctions serverless. Il applique les principes du moindre privilège, réduisant les risques liés aux droits excessifs – 97 % des identités non humaines (NHI) possèdent des privilèges trop étendus. Des outils automatisés comme le redimensionnement des permissions et l’accès Just-In-Time (JIT) assurent la conformité et préviennent l’exposition accidentelle de données sensibles.

L’ISPM traite des risques d’identité omniprésents à l’origine des cyberattaques modernes, en ciblant des vulnérabilités souvent négligées par les modèles de sécurité traditionnels :

• Mauvaises configurations d’identité : Des politiques d’accès faibles, des protocoles obsolètes et des rôles d’Identity and Access Management mal définis créent des failles exploitables, notamment dans les environnements hybrides ou multi-cloud. L’ISPM automatise les audits de configuration et applique le principe du moindre privilège pour éliminer les permissions toxiques.
• Comptes surpriviliégiés : Les permissions excessives permettent aux attaquants d’escalader les privilèges et de se déplacer latéralement dans les systèmes. L’ISPM réduit les accès permanents via le provisioning Just-In-Time et des examens granulaires des droits.
• Exploitation de systèmes hérités : Les protocoles d’authentification obsolètes (ex. : Kerberos) restent vulnérables au vol d’identifiants. L’ISPM renforce les défenses avec des politiques Zero Trust et une MFA adaptative, même pour les infrastructures anciennes.
• Prolifération des identités : Les fournisseurs d’identité fragmentés entraînent des comptes orphelins et un contrôle d’accès incohérent. L’ISPM unifie la visibilité, automatise la désactivation des comptes, et centralise la gouvernance des identités.
• Attaques pilotées par l’IA : Le phishing, les deepfakes et le credential stuffing généré par IA contournent les défenses traditionnelles. L’ISPM contre ces menaces par l’analyse comportementale, l’authentification basée sur les risques et la détection continue des anomalies.

En rationalisant la gouvernance des identités et en renforçant les workflows d’authentification, l’ISPM transforme la sécurité des identités d’un fardeau de conformité en un pilier de défense proactif.

Les attaquants exploitent de plus en plus les vulnérabilités au « milieu de la chaîne d’attaque » – là où se produisent l’escalade de privilèges et les mouvements latéraux – rendant cruciale une mise en œuvre proactive de l’ISPM. Voici les principales stratégies pour renforcer les cadres de sécurité des identités :

Détection d’anomalies basée sur l’IA et analyse comportementale

Intégrer le machine learning (ML) pour établir des lignes de base pour le comportement normal des identités et signaler les écarts tels que les heures de connexion inhabituelles, les escalades de privilèges ou l’accès atypique aux ressources. Par exemple :

• Notation prédictive des risques : Attribuer un niveau de risque aux identités selon les schémas d’accès, la géolocalisation ou l’état de l’appareil.
• Authentification adaptative : Utiliser l’IA pour déclencher des défis MFA ou bloquer l’accès en cas de scénarios à haut risque (ex. : dispositifs inconnus)
• Détection de menaces internes : Analyser les données historiques pour identifier une intention malveillante potentielle dans les actions des employés.

Bonnes pratiques : Utiliser des outils comme Identity Threat Detection & Response (ITDR) pour automatiser la détection et prioriser la remédiation.

Gouvernance unifiée des identités dans des environnements hybrides

L’ISPM nécessite un contrôle centralisé des identités dans des systèmes multicloud, sur site et hérités :

• Automatiser la gestion du cycle de vie : Attribution/révocation en temps réel des accès pour les employés, sous-traitants et identités non humaines.
• Appliquer le moindre privilège : Mener des revues trimestrielles des droits pour éliminer les accès inutiles.
• Intégration CIEM : Surveiller les ressources cloud pour supprimer les chaînes de permissions toxiques.

Bonnes pratiques : Utiliser des outils de gouvernance pour cartographier les relations entre identités, ressources et droits.

Zero Trust et vérification continue

Supposer une violation et valider chaque accès demande :

• Micro-segmentation : Limiter les mouvements latéraux en isolant les systèmes et données sensibles.
• Accès Just-In-Time (JIT) : Fournir des privilèges temporaires pour des tâches spécifiques au lieu d’un accès permanent.
• Surveillance des sessions : Auditer les sessions privilégiées en temps réel pour détecter tout abus d’identifiants.

Bonnes pratiques : Appliquer les principes Zero Trust aux systèmes hérités via la modernisation des protocoles (ex. : remplacement de Kerberos par OAuth 2.0).

Combler le vide au « milieu de la chaîne d’attaque »

Matthew Gardiner, stratège cybersécurité chez Proofpoint, avertit : « C’est dans cette partie intermédiaire que de nombreuses organisations présentent des lacunes importantes dans leurs défenses de sécurité existantes. Au départ, cette partie de la sécurité semblait floue dans l’esprit de nombreux participants à nos sessions. Mais je pense que les sessions ont permis de clarifier les raisons pour lesquelles elle est si importante. »

Pour renforcer les défenses là où les attaquants persistent le plus longtemps :

1. Renforcement d’Active Directory (AD) : Auditer les politiques de groupe, désactiver les protocoles hérités, surveiller les attaques de type Golden Ticket.
2. Détection de mouvement latéral : Identifier les trafics SMB/NTLM suspects ou connexions RDP inattendues.
3. Prévention du vol d’identifiants : Déployer des outils de détection d’endpoint contre des logiciels comme Mimikatz, imposer la MFA résistante au phishing.

Bonne pratique : Utiliser des produits tels que Identity Threat Defense et simuler des chemins d’attaque à l’aide d’exercices en équipe rouge afin d’identifier les points d’exposition. « AD est un gâchis pour la sécurité dans toutes les organisations qui l’utilisent », souligne M. Gardiner, qui insiste sur la nécessité “d’améliorer l’hygiène d’AD”.

Automatisation des politiques et conformité

Politiques d’accès dynamiques : Mise à jour automatique en fonction des changements de rôle ou des évolutions réglementaires (ex. : RGPD, NIST).

• Rapports prêts pour audit : Tableaux de bord de conformité en temps réel pour certifications d’accès et évaluations de risque.
• Contrôles d’accès tiers : Permissions limitées dans le temps et enregistrement des sessions pour les prestataires.

Bonnes pratiques : Aligner les workflows ISPM avec les cadres comme MITRE ATT&CK pour contrer les tactiques adverses.

En associant des perspectives pilotées par l’IA à une gouvernance rigoureuse et à des outils de défense contre les menaces identitaires, les organisations peuvent transformer l’ISPM d’un outil de conformité réactif en un moteur de résilience stratégique. Des mises à jour régulières des politiques d’accès, associées à une formation inter-équipes, garantissent une protection durable contre les menaces centrées sur l’identité.

L’ISPM transforme la manière dont les organisations sécurisent les identités numériques, en offrant des avantages stratégiques qui renforcent la sécurité, simplifient la conformité et améliorent la résilience opérationnelle. Les principaux bénéfices incluent :

• Amélioration de la posture de sécurité : Identifie et atténue de manière proactive les risques tels que les comptes sur-privilégiés, les permissions mal configurées et l’exposition des identifiants grâce à une surveillance continue, réduisant ainsi les opportunités pour les attaquants d’exploiter les vulnérabilités liées aux identités.
• Conformité simplifiée : Automatise les pistes d’audit, les certifications d’accès et l’application des politiques pour s’aligner sur les réglementations en évolution, minimisant les écarts de conformité et accélérant les rapports pour des cadres tels que le RGPD et le NIST.
• Réduction du risque de violation : Traite les vecteurs d’attaque courants liés aux identifiants compromis et aux déplacements latéraux en appliquant le principe du moindre privilège, l’authentification adaptative et la détection des menaces en temps réel.
• Efficacité opérationnelle : Simplifie la gestion du cycle de vie des identités (par ex. intégration/départ des employés) et centralise la gouvernance, réduisant les tâches manuelles et la charge administrative tout en garantissant une application cohérente des politiques.
• Réduction des coûts : Optimise l’allocation des ressources en éliminant les outils redondants, en minimisant les impacts financiers liés aux violations et en évitant les pénalités pour non-conformité.
• Prévention adaptative des menaces : Utilise l’analyse comportementale et le machine learning pour détecter les anomalies et les menaces émergentes, permettant des réponses plus rapides face aux attaques sophistiquées comme le credential stuffing ou les menaces internes.
• Visibilité unifiée : Offre une vue unique pour gérer les identités à travers les systèmes cloud, sur site et hybrides, garantissant qu’aucune identité ou permission ne passe entre les mailles du filet.

En intégrant ces avantages, l’ISPM permet aux organisations de transformer la gouvernance des identités en un avantage concurrentiel, équilibrant sécurité et agilité dans des environnements numériques dynamiques.

Proofpoint propose des solutions ISPM avancées pour traiter les risques liés aux identités modernes, en combinant remédiation proactive, détection en temps réel et contrôle adaptatif des accès. Sa plateforme Identity Threat Defense détecte et corrige en continu les mauvaises configurations, comptes à privilèges et chemins d’attaque dans les environnements hybrides – avec une intégration fluide à Active Directory, Entra ID et Okta.

Pour les environnements multi-cloud, Posture Management de Proofpoint automatise la gouvernance des identités et applique le moindre privilège pour prévenir les déplacements latéraux. Des partenariats stratégiques comme CyberArk renforcent la défense contre les attaques par identifiants grâce à l’intelligence des menaces et la détection par tromperie. En mettant l’accent sur le Zero Trust et l’analyse pilotée par l’IA, Proofpoint transforme la sécurité des identités en une couche de défense résiliente et adaptative. Contactez Proofpoint pour en savoir plus.