Dans l'univers des fournisseurs de services gérés en cybersécurité (MSSP), l'intégration (onboarding) d'un nouveau client a longtemps été synonyme de friction. Traditionnellement, pour superviser un parc informatique, il fallait déployer des "agents" logiciels sur chaque serveur et chaque poste de travail.
Aujourd'hui, face à des écosystèmes cloud matures comme Microsoft 365, cette approche par agent n'est plus seulement obsolète, elle constitue une faille de sécurité potentielle et un gouffre financier. Décryptons pourquoi l'enrôlement API (via oAuth) s'impose comme le nouveau standard de l'industrie.
Les limites de l'approche par agent (Agent-Based)
1. Le cauchemar du déploiement
Installer un agent de sécurité (EDR tiers ou collecteur de logs SIEM) sur le parc d'un client de 500 collaborateurs prend des semaines. Il faut créer des paquets de déploiement (GPO/Intune), gérer les exceptions d'antivirus, s'assurer que les ordinateurs portables nomades se connectent au VPN pour recevoir la mise à jour, et gérer les redémarrages forcés. Ce délai de mise en production (Time-to-Value) est une période de vulnérabilité où le client paie votre service sans être encore protégé.
2. Le "Shadow IT" et les angles morts
Un agent ne protège que la machine sur laquelle il est installé. Si un employé se connecte à sa messagerie Microsoft 365 depuis son smartphone personnel ou un ordinateur d'hôtel, l'agent local est aveugle. Dans un monde axé sur l'identité (Zero Trust), surveiller uniquement l'ordinateur ("l'endpoint") ne suffit plus pour contrer un vol de jeton de session Entra ID.
3. Les failles de sécurité de l'agent (Supply Chain Attacks)
Un agent nécessite des privilèges "Système" pour fonctionner. Si l'éditeur de l'agent subit une compromission de sa chaîne d'approvisionnement (Supply Chain Attack, à l'image du cas tristement célèbre de SolarWinds), l'attaquant gagne un accès "System" sur l'ensemble de votre parc client.
L'intégration par API et l'Admin Consent (Zéro Agent)
Plutôt que d'installer des logiciels espions sur le matériel, les architectures modernes comme Akuity SOC se branchent directement "au-dessus" du locataire (Tenant) cloud du client. C'est l'approche Zéro Agent.
Pour qu'un MSSP puisse piloter le Microsoft Defender d'un client, ce dernier n'a qu'à cliquer sur un lien sécurisé d'enrôlement. Ce lien utilise le protocole standardisé oAuth 2.0 et redirige vers une page d'autorisation Microsoft ("Admin Consent").
Une sécurité granulaire (Le principe du moindre privilège)
Contrairement à un agent qui obtient les pleins pouvoirs sur Windows, l'intégration oAuth demande des permissions Microsoft Graph API extrêmement précises. L'orchestrateur Akuity SOC demande par exemple :
Directory.ReadWrite.All: Pour révoquer les sessions d'un utilisateur compromis.DeviceManagementManagedDevices.ReadWrite.All: Pour ordonner à Intune d'isoler un poste infecté.SecurityActions.ReadWrite.All: Pour injecter un Hash malveillant (IOC) dans la liste de blocage de Defender for Endpoint.
Ces droits sont clairs, audités par Microsoft et restreints au strict nécessaire. Le MSSP n'a pas besoin de créer de compte "Administrateur Global" permanent qui pourrait être piraté.
Une protection "Cloud-to-Cloud" immédiate
Dès que l'Admin Consent est validé, la supervision commence à la seconde près. Le MSSP a immédiatement une visibilité sur les tentatives de phishing, les malwares et les connexions suspectes depuis des réseaux Tor, peu importe l'appareil utilisé par l'employé du client.
Conclusion : L'avantage concurrentiel de la vitesse
Pour un MSSP, proposer un onboarding "Zéro Agent" est un argument de vente majeur. Vous rassurez les directeurs informatiques (DSI) qui n'ont pas à modifier leur architecture interne, vous réduisez vos coûts d'intégration à zéro, et vous garantissez une sécurité cloud native sans angle mort.
Prêt à accélérer l'intégration de vos clients ? > Découvrez comment la Plateforme SOC Multi-Tenant Akuity centralise l'enrôlement oAuth pour une supervision immédiate.