La cybersécurité moderne ne repose plus sur la solidité du périmètre réseau (le pare-feu), mais sur la vérification continue de l'identité. C'est le fondement de l'architecture Zero Trust. Dans le cloud Microsoft, ce concept s'incarne à travers les politiques d'Accès Conditionnel (Conditional Access Policies) de Microsoft Entra ID.
Cependant, beaucoup d'entreprises configurent l'Accès Conditionnel de manière statique (ex: "Exiger le MFA pour tout le monde"). La véritable puissance de cet outil réside dans sa capacité à réagir dynamiquement au niveau de risque d'un utilisateur. Découvrez comment l'interaction entre un orchestrateur SOAR (comme Akuity) et l'Accès Conditionnel permet d'automatiser le confinement d'une identité piratée.
Le concept de l'Accès Conditionnel basé sur les risques
Entra ID Protection évalue en permanence deux types de risques :
- Le risque de connexion (Sign-in Risk) : La tentative de connexion actuelle est-elle suspecte ? (ex: Adresse IP liée à un nœud Tor).
- Le risque lié à l'utilisateur (User Risk) : L'identité globale de l'utilisateur est-elle compromise ? (ex: Ses identifiants ont été retrouvés sur le Dark Web).
Les politiques d'Accès Conditionnel permettent de définir des règles du type : SI le niveau de risque de l'utilisateur est Élevé, ALORS exiger un changement de mot de passe sécurisé (via Azure AD SSP) ou bloquer totalement l'accès.
Le défi opérationnel est le suivant : l'algorithme de Microsoft peut parfois être conservateur et ne pas élever le risque à "Élevé" assez vite lors d'une attaque sophistiquée. C'est là que l'humain et le SOAR interviennent.
Le pont entre le SOC et le Zero Trust : "Confirm Compromised"
Lorsqu'un analyste qualifie une alerte de phishing ciblée dans le Cockpit d'Akuity SOC et acquiert la certitude que l'employé a saisi ses identifiants sur une page frauduleuse, il doit agir.
Depuis l'onglet des remédiations d'Akuity, l'action Confirmation de compromission (confirmUserCompromised) est la commande API maîtresse. En cliquant sur ce bouton (après validation de son code MFA TOTP AAL2), l'analyste force manuellement le statut de l'utilisateur à "Risque Élevé" (High Risk) dans les bases de Microsoft.
C'est cette action précise qui agit comme un interrupteur déclenchant vos politiques d'Accès Conditionnel préconfigurées.
Comment configurer la politique d'Accès Conditionnel parfaite
Pour que la commande d'Akuity déploie tout son potentiel défensif, vous devez configurer la politique d'intervention d'urgence suivante dans votre portail Microsoft Entra ID :
- Nom de la politique :
Block or Require Password Change on High User Risk - Utilisateurs ciblés : Tous les utilisateurs (pensez à exclure vos comptes d'urgence "Break-glass" !).
- Conditions -> Risque lié à l'utilisateur : Sélectionnez Élevé (High).
- Contrôles d'accès -> Accorder :
- Option 1 (Stricte) : Bloquer l'accès. L'utilisateur compromis ne pourra plus se connecter nulle part tant qu'un administrateur n'aura pas nettoyé son compte.
- Option 2 (Self-Service) : Accorder l'accès, mais Exiger la modification du mot de passe. Cela oblige l'utilisateur à prouver son identité via MFA puis à créer un nouveau mot de passe fort avant de pouvoir reprendre son travail, coupant ainsi l'herbe sous le pied de l'attaquant.
La traçabilité de l'action de confinement
Déclarer un utilisateur comme compromis est une action ayant un fort impact sur le métier. L'architecture d'audit intégrée à Akuity SOC garantit que cette décision ne peut jamais être prise à la légère.
Chaque utilisation de la commande CONFIRMUSERCOMPROMISED génère un journal (log) JSON standardisé pour la norme SOC 2. Ce log consigne l'identifiant cryptographique (auth.uid()) de l'analyste, l'heure exacte de l'action, et la vérification du niveau d'assurance (AAL2), garantissant une imputabilité parfaite en cas d'audit interne.
Conclusion : L'orchestration au service du Zero Trust
Un SOAR moderne ne remplace pas vos outils de sécurité natifs, il les pilote. En associant la centralisation des alertes d'Akuity SOC aux mécanismes puissants de l'Accès Conditionnel de Microsoft, vous transformez vos règles de sécurité statiques en un bouclier dynamique, capable de verrouiller un attaquant en une fraction de seconde.
Activez la pleine puissance de l'architecture Zero Trust. > Découvrez comment la Gestion des Identités à Risque Entra ID d'Akuity SOC pilote vos règles d'Accès Conditionnel en un clic.