Avec la généralisation du télétravail, des déplacements professionnels internationaux et de l'usage des VPN d'entreprise, les algorithmes de sécurité comportementale sont mis à rude épreuve. Sur Microsoft Entra ID, l'une des alertes les plus fréquentes et les plus complexes à traiter pour un centre d'opérations de sécurité (SOC) est le "Voyage Impossible" (Impossible Travel).
Si cette alerte est le signe avant-coureur classique d'une usurpation d'identité, elle génère également un volume massif de faux positifs. Verrouiller le compte d'un directeur commercial en déplacement simplement parce qu'il s'est connecté au Wi-Fi d'un aéroport est le meilleur moyen de paralyser l'activité métier. Comment faire la part des choses en temps réel ?
Qu'est-ce que l'alerte "Voyage Impossible" ?
Le moteur de Machine Learning de Microsoft Entra ID Protection calcule la distance géographique et le temps écoulé entre deux connexions successives d'un même utilisateur.
Si un collaborateur se connecte à sa boîte mail Outlook depuis Paris à 10h00, et qu'une nouvelle connexion réussie a lieu depuis Singapour à 10h30, l'algorithme déduit qu'il est physiquement impossible de parcourir cette distance en 30 minutes. Il lève alors une alerte de "Voyage Atypique" ou "Impossible Travel".
Les deux scénarios possibles
- Le Faux Positif (Activité Légitime) : L'utilisateur travaille depuis Paris, puis active son VPN d'entreprise ou un VPN personnel (comme NordVPN) routé vers un serveur en Asie pour tester un service. L'adresse IP change drastiquement, déclenchant l'alerte.
- Le Vrai Positif (Compromission) : L'utilisateur est à Paris, mais un cybercriminel basé à l'étranger vient d'utiliser ses identifiants volés (ou un jeton de session dérobé via un malware) pour se connecter à son compte.
Le piège de l'investigation manuelle
Face à cette alerte, l'analyste SOC de Niveau 1 (N1) se retrouve face à un dilemme. S'il ignore l'alerte et qu'il s'agit d'un piratage, la responsabilité du SOC est engagée. S'il coupe l'accès de l'utilisateur par précaution, il risque de bloquer une présentation critique chez un client.
L'investigation manuelle requiert de chercher la réputation de l'adresse IP étrangère sur des bases comme AlienVault ou VirusTotal, d'analyser le type d'appareil (User-Agent) utilisé lors de la seconde connexion, et de croiser ces données. Une procédure qui prend entre 15 et 30 minutes.
L'approche Akuity SOC : L'analyse JIT (Just-In-Time)
Pour réduire la charge cognitive et permettre une prise de décision en quelques secondes, Akuity SOC introduit un concept d'investigation embarquée : l'analyse JIT (Just-In-Time).
Au sein de l'onglet "Identités à risque", lorsqu'un utilisateur remonte avec une anomalie, l'analyste n'a pas besoin de naviguer ailleurs. Il lui suffit de cliquer sur l'icône en forme d'œil. Cette action ouvre un panneau latéral dynamique qui interroge l'API Microsoft Graph en temps réel pour récupérer les détails de la détection de risque.
Qualification instantanée
L'analyse JIT fournit le contexte exact :
- L'adresse IP d'origine et l'adresse IP distante.
- La qualification du réseau (s'agit-il d'un nœud Tor anonymisé ou d'une adresse IP d'entreprise connue ?).
- La présence de l'IP dans des bases de menaces reconnues (via l'intégration de Google Web Risk).
Deux remédiations en 1-clic
Grâce à ce contexte clair, l'analyste peut prendre la décision appropriée immédiatement :
Scénario 1 : Le Faux Positif est confirmé. (L'IP appartient au VPN de l'entreprise).
L'analyste utilise l'action DISMISSUSERRISK (Acquittement). Cette commande API signale à Microsoft Entra ID Protection que le comportement est légitime. Le niveau de risque de l'utilisateur retombe à zéro, évitant de polluer les statistiques du SOC et de déclencher des politiques d'accès conditionnel par erreur.
Scénario 2 : Le Piratage est confirmé. (L'IP est liée à un serveur proxy malveillant connu).
L'analyste déclenche l'action revokeSessions pour invalider immédiatement les accès du pirate, et utilise confirmUserCompromised pour placer le compte en quarantaine stricte, le tout validé par son application MFA (niveau AAL2).
Conclusion : Vitesse et discernement
Gérer la sécurité des identités cloud ne signifie pas bloquer aveuglément au moindre signal atypique. En apportant le contexte précis (Just-In-Time) au plus près du centre de commandement, vous donnez à vos analystes la capacité de discerner les fausses alertes des véritables attaques de "Token Theft", préservant ainsi la sécurité de l'infrastructure et la productivité de vos collaborateurs.
Accélérez le tri de vos alertes d'identité. > Découvrez comment notre module de Gestion des Identités à Risque Entra ID intègre l'analyse JIT pour une prise de décision éclairée.