Dans l'industrie de la cybersécurité, les centres d'opérations de sécurité (SOC) sont la cible de prédilection des attaquants avancés. Pourquoi s'épuiser à pirater les entreprises clientes une par une, lorsqu'il suffit de compromettre l'ordinateur de l'analyste SOC de leur prestataire (MSSP) pour obtenir les clés de dizaines d'infrastructures simultanément ?
Pour contrer cette menace systémique, protéger le portail de supervision avec un simple couple "Identifiant / Mot de passe" relève aujourd'hui de la négligence professionnelle. Les agences gouvernementales (comme le NIST américain ou l'ANSSI en France) ont standardisé les niveaux de confiance d'authentification sous l'acronyme AAL (Authenticator Assurance Levels). Découvrez la différence vitale entre l'AAL1 et l'AAL2, et comment cette norme protège votre plateforme SOAR.
Qu'est-ce que l'Authenticator Assurance Level (AAL) ?
La norme AAL définit le niveau de certitude qu'a un système informatique concernant l'identité réelle de la personne qui tente de se connecter. Plus le niveau est élevé, plus le système est "sûr" que l'utilisateur est bien celui qu'il prétend être.
AAL1 : La preuve de contrôle simple
Le niveau d'assurance AAL1 (Level 1) est le niveau par défaut d'Internet. Il exige une preuve de contrôle à facteur unique, généralement ce que vous savez (un mot de passe).
Dans une plateforme SOC comme Akuity, la saisie correcte d'un e-mail et d'un mot de passe valide accorde immédiatement un jeton de session (JWT) de niveau AAL1. Cependant, si ce mot de passe a été intercepté via une campagne de phishing ciblée ou dérobé par un malware de type Infostealer, l'attaquant obtient ce jeton AAL1 sans aucune difficulté. C'est pourquoi ce niveau est considéré comme "incomplet et non sécurisé" pour les opérations de remédiation critique.
AAL2 : La preuve de contrôle multifacteur (MFA)
Le niveau d'assurance AAL2 (Level 2) exige la preuve d'un second facteur cryptographique distinct, soit ce que vous possédez (un smartphone générant un code TOTP ou une clé de sécurité physique).
Pour atteindre ce niveau de confiance dans Akuity SOC, l'utilisateur AAL1 doit valider un code à 6 chiffres généré par son application d'authentification. Une fois ce code validé, le système délivre un nouveau jeton JWT dans lequel est injecté la mention (le claim) "aal": "aal2".
L'application stricte de l'AAL2 dans un orchestrateur SOC
Pourquoi cette distinction technique est-elle fondamentale ? Parce qu'un orchestrateur SOAR (Security Orchestration, Automation, and Response) a le pouvoir de déclencher des commandes destructrices.
Si un pirate obtient le mot de passe d'un analyste (niveau AAL1), il pourrait théoriquement :
- Isoler les serveurs de production de vos clients via Intune (Déni de service).
- Révoquer les sessions de tous les administrateurs cloud du client.
- Injecter des listes de blocage aberrantes dans Defender for Endpoint.
Pour rendre ce scénario impossible, l'architecture d'Akuity SOC applique une ségrégation des privilèges stricte basée sur les claims du jeton JWT.
Le blocage au niveau de l'interface et du backend
Toute session qui reste au niveau aal1 (même si le mot de passe est correct) se voit refuser l'accès au cockpit opérationnel. L'interface (Frontend) grise les boutons d'action, mais la véritable sécurité se trouve côté serveur. Si une requête API tente de lancer l'action isolateDevice avec un jeton AAL1, le backend rejette instantanément l'appel en renvoyant une erreur 403 Forbidden.
L'élévation au niveau AAL2 devient alors le sas de sécurité incontournable. Seule la personne physiquement en possession du smartphone de l'analyste peut générer le code à 6 chiffres valide pour les 30 prochaines secondes.
L'impact sur les audits de conformité (SOC 2)
L'exigence systématique du niveau AAL2 n'est pas qu'une mesure défensive, c'est également une preuve de conformité. Lors d'un audit de type SOC 2 Type II, vous devez prouver que vos accès à privilèges sont sécurisés.
Dans les journaux d'audit (logs) générés par Akuity au format JSON, le payload de chaque remédiation inclut explicitement l'état de la session de l'analyste au moment du tir : "mfa_level": "AAL2". Cette inscription immuable prouve à l'auditeur que vos mécanismes de double authentification ne sont pas optionnels, mais systémiques et techniquement infranchissables.
Conclusion : Zéro confiance, contrôle absolu
Le paradigme du Zero Trust (Zéro Confiance) exige de vérifier chaque transaction, en permanence. Un mot de passe volé ne doit jamais donner les clés de votre royaume cyber. En adossant les capacités destructrices de votre SOAR à une vérification stricte du niveau d'assurance AAL2, vous garantissez que seules les décisions authentiques et souveraines de vos analystes seront exécutées sur l'infrastructure de vos clients.
Protégez les opérations de votre équipe de sécurité. > Découvrez comment la Gestion de la sécurité MFA AAL2 d'Akuity SOC verrouille l'accès à vos remédiations critiques.