Aller au contenu
Démarrer
Open search

Au-delà du MFA : renforcer la résilience face aux attaques basées sur l'identité

Février 3, 2026

Jon Munshaw

Écrit par Jon Munshaw

beyond-mfa-building-true-resilience-against-identity-based-attacks image
Sophos InsightsIdentity SecurityMFASophos ITDR

L’authentification multifacteur (MFA) reste une pierre angulaire de la cybersécurité, mais les attaquants ont appris à trouver des solutions de contournement.

Face à la montée en puissance des attaques basées sur l'identité, les organisations doivent aller au-delà de l'authentification multifacteur pour renforcer leur résilience. Les experts de Sophos ainsi qu’une étude récente de Gartner sont d’accord sur un point : il est temps d'adopter une stratégie de type Identity-first, renforcée par une détection et une réponse continues. Pour de nombreuses organisations, suivre le rythme imposé par les menaces ciblant l’identité est une tâche complexe, surtout avec l'expansion des environnements hybrides. Mais il existe une stratégie claire à adopter.

L'identité est désormais la principale surface d'attaque

Chris Yule, directeur Threat-Intelligence pour Sophos X-Ops Counter Threat Unit, note que plus de 60% des incidents que son équipe investigue proviennent de failles liées à l'identité. Le phishing, le vol d’identifiants et l’ingénierie sociale sont des points d’entrée courants, des méthodes qui permettent aux attaquants de s’infiltrer sans déployer de malwares traditionnels.

« La principale menace à laquelle nos clients sont confrontés aujourd'hui reste le ransomware, tant en termes de nombre d'incidents que nous constatons que d'impact », a expliqué Yule lors d'un récent webinaire. « Les cas classiques de ransomware montrent systématiquement que la compromission d'identité constitue la première étape critique ».

À mesure que les organisations étendent leurs activités aux environnements hybrides et Cloud, chaque nouvelle intégration, qu'il s'agisse d'applications SaaS (Software-as-a-Service) ou de comptes de service, devient un nouveau point d'entrée. Cependant, comme l’a souligné Yule, il y aura souvent des cyberattaques où « très peu de code malveillant sera utilisé ». Ils utiliseront plutôt « le privilège et la confiance pour accéder à l’environnement et causer le plus de dégâts possible grâce à cette confiance justement ».

Pourquoi le MFA seul ne suffit plus ?

Le MFA est essentiel, mais il ne suffit pas. Les attaquants ont évolué, et les menaces basées sur l'identité contournent désormais même les authentifications les plus robustes. Les organisations ont besoin d'une détection et d'une réponse continues pour garder une longueur d'avance. Dans de nombreux cas de compromission BEC (Business Email Compromise), les adversaires ont contourné l'authentification multifacteur (MFA) en utilisant des kits de phishing de type AiTM (Adversary-in-The-Middle).

Une attaque AiTM va au-delà du phishing traditionnel. Au lieu de simplement voler les identifiants, l'attaquant intercepte et relaie la session de connexion de la victime en temps réel. Lorsqu'un utilisateur clique sur un lien de phishing et saisit ses identifiants sur un faux site, l'attaquant transmet ces informations au service légitime et capture l'intégralité du flux d'authentification, notamment les réponses MFA, lui permettant ainsi de pirater la session.

Cette réalité correspond aux conclusions que Gartner expose dans son rapport intitulé : « CISOs Must Integrate IAM to Strengthen Cybersecurity Strategy ». Ce rapport note que la compromission des identifiants reste la principale cause des violations de données et que « les attaquants sophistiqués ciblent désormais l’infrastructure IAM [Identity Access Management] elle-même ».

Gartner souligne par ailleurs que si la prévention est essentielle, « il n’existe pas pour autant de prévention infaillible ». Les équipes de sécurité doivent être prêtes à détecter et à répondre lorsque la défense des identités est contournée.

Sécurité Identity-first : la prochaine évolution

Selon Gartner, les responsables cybersécurité devraient « adopter une solution ITDR (Identity Threat Detection and Response) et privilégier une sécurité de type Identity-first pour permettre une confiance zéro (Zero-Trust) et optimiser la posture de cybersécurité de l’organisation ».

La sécurité Identity-first redéfinit la protection en fonction de Qui/Quoi se connecte, plutôt que de l'endroit où s’effectue véritablement la connexion. Au lieu de contrôles périmétriques statiques, elle privilégie une évaluation continue de la confiance et un accès adaptatif. Concrètement, cette approche signifie :

  • Surveiller en permanence la posture d’identité, et pas seulement appliquer des contrôles de connexion.
  • Détecter et répondre aux comportements anormaux tels que l'élévation de privilèges ou les mouvements latéraux.
  • Réduire la surface d'attaque en corrigeant les erreurs de configuration et les comptes sur-privilégiés.

Détection dédiée à la couche d'identité

Yule a souligné que Sophos a conçu le service ITDR (Identity Threat Detection and Response) précisément pour combler cette lacune.

« Historiquement, les solutions IAM (Identity and Access Management) et les opérations de sécurité ont toujours été des approches largement distinctes », a déclaré Yule. « Et donc, ce que nous avons essayé de faire avec l'ITDR, c'est d'examiner le chevauchement de ces 2 approches ».

En évaluant en permanence le niveau de sécurité des identités, Sophos ITDR surveille :

  • Les identifiants volés ou divulgués sur le dark web.
  • Les comptes dotés de permissions excessives ou inhabituelles.
  • Les mauvaises configurations au niveau des applications permettant un abus de privilèges.

Cette approche proactive complète Sophos MDR (Managed Detection and Response) et Sophos XDR (Extended Detection and Response), donnant ainsi aux organisations la possibilité de détecter les menaces en pleine action tout en réduisant le risque d'exploitation des identités avant même que les attaques ne commencent véritablement.

L'identité est devenue la pierre angulaire de la cybersécurité moderne, et le renforcement de la résilience commence par la prise en compte de celle-ci comme une discipline fondamentale. Ensemble, les solutions ITDR, MDR et XDR créent une infrastructure de sécurité continue, adaptative et résiliente.

« Plus nous faisons confiance à différents éléments, plus ces derniers se complexifient, et deviennent opaques, et plus il devient difficile de connaître et d'identifier ces micro-vulnérabilités qui pourraient être exploitées par un individu assez intelligent pour les déceler », a déclaré Yule.

Les organisations qui adoptent des stratégies de sécurité Identity-first gagnent en agilité pour détecter et neutraliser les menaces avant qu'elles ne s'aggravent.

Découvrez comment Sophos ITDR (Identity Threat Detection and Response) aide les organisations à prévenir et à neutraliser les menaces basées sur l'identité avant qu'elles ne se transforment en véritables violations de données.

Billet inspiré de Beyond MFA: Building true resilience against identity-based attacks, sur le Blog Sophos.

À propos de l'auteur

Jon Munshaw

Jon Munshaw

Jon Munshaw is the Strategic Messaging Manager at Sophos. He helps tell the story of Sophos through a variety of content, and ensures that the company's tone of voice and story is consistent across all platforms. After starting his career in journalism, he pivoted to cybersecurity, and has since become interested in dissecting complicated cybersecurity topics and "translating" them for different audiences.