Pourquoi la protection de l'identité (ITDR) est une priorité
Dans le cloud, le périmètre n'est plus le réseau : c'est l'identité. Les attaquants ont cessé de forcer le pare-feu et se sont mis à s'authentifier, volant sessions et tokens qui contournent le MFA classique. L'ITDR (Identity Threat Detection and Response) défend ce qui compte vraiment aujourd'hui : qui accède, comment, et si cet accès a été compromis ou abusé après l'authentification. Sans ITDR, l'attaquant entre par la grande porte avec des identifiants valides.
La thèse
Pendant des années, la sécurité a défendu le périmètre réseau. Mais les données et les applications ont migré vers le cloud, et avec elles le point faible : aujourd’hui l’attaquant ne force pas le pare-feu, il s’authentifie. L’identité est le nouveau périmètre, et l’ITDR est la défense de ce périmètre.
Le coût de ne pas défendre l’identité
Un identifiant ou une session volés valent plus qu’un exploit : ils accordent un accès légitime et silencieux que l’EDR ne voit pas et que le pare-feu laisse passer. De là viennent le BEC, la fraude, l’exfiltration, tout avec des API et des tokens légitimes. Sans ITDR, l’intrusion ressemble à une connexion normale.
Ce qu’apporte l’ITDR
Détection et réponse sur les identités : surveillance d’Active Directory et d’Entra ID, détection d’anomalies post-authentification, blocage des abus d’identifiants et de sessions, révocation rapide. C’est ce qui intercepte l’attaquant une fois le MFA déjà contourné, comme le montre le cas Kali365.
Quand cela compte vraiment (et quand le minimum suffit)
Dès que vous utilisez Microsoft 365, Entra ID ou un accès cloud généralisé, l’identité est le front principal : l’ITDR est une priorité. Dans un environnement minuscule, entièrement on-premise et avec très peu de comptes, la priorité peut être ailleurs (sauvegardes, patching, durcissement de base). Mais pour la grande majorité des entreprises modernes, défendre l’identité n’est pas optionnel. Voir aussi sécurité Microsoft 365.
Défense périmétrique classique vs défense de l'identité
| Périmètre classique | ITDR | |
|---|---|---|
| Hypothèse | La menace est dehors | La menace s'authentifie |
| MFA classique | Considéré suffisant | Contourné par le vol de session |
| Couverture | Réseau, pare-feu | AD, Entra ID, sessions, accès |
| Détecte | Intrusion réseau | Abus d'identifiants et de tokens post-auth |
L'analyse de la plateforme PhaaS Kali365 (800 domaines cartographiés) montre comment le vol de tokens OAuth après une authentification légitime contourne le MFA classique : la preuve que la défense doit se déplacer vers l'identité post-authentification, là où l'endpoint ne voit rien.
Lire l'analyse →Questions fréquentes.
Le MFA ne suffit-il pas à protéger les identités ?
Non, pas à lui seul. Les attaques AiTM et le vol de tokens de session dérobent l'accès après l'authentification : le MFA se déclenche, mais la session est déjà compromise. Il faut FIDO2/passkey, de l'anti-phishing AiTM et un ITDR qui détecte les abus post-authentification.
Que détecte l'ITDR que l'EDR ne détecte pas ?
Les abus sur Active Directory et Entra ID : Kerberoasting, Pass-the-Hash, DCSync, Golden Ticket, élévation de privilèges, usage anormal des sessions. Ce sont des attaques qui souvent ne touchent pas l'endpoint, et échappent donc à l'EDR seul.
Pourquoi « l'identité est le nouveau périmètre » ?
Parce que les données et les applications vivent dans le cloud : la seule frontière constante est qui accède. Une fois l'identité compromise, l'attaquant se déplace comme un utilisateur légitime. C'est pourquoi l'identité est le premier actif à défendre.
Quand l'ITDR est-il moins urgent ?
Dans de très petits environnements on-premise avec très peu d'identités, la priorité peut être ailleurs (sauvegardes, patching). Mais dès qu'il y a Microsoft 365, Entra ID ou un accès cloud généralisé, l'identité devient le front principal.
De la théorie à une opération réelle.
Ce que vous lisez ici, Fortgale le met en œuvre chaque jour avec un SOC européen 24·7·365 : 287 outils et acteurs profilés, <30 min de confinement médian. Voir le service : Protection de l'identité · ITDR.
Ressources liées : Sécurité Microsoft 365 · Qu'est-ce que le MDR · Qu'est-ce qu'un EDR
Une conversation technique, pas un funnel.
Laissez vos coordonnées : un analyste vous rappelle sous un jour ouvré. SOC européen, même fuseau horaire, intelligence propriétaire sur les acteurs actifs dans l'UE.