Entra ID : Pourquoi les identités deviennent le plus grand risque du cloud

Pourquoi Entra ID est soudainement devenu un risque business

De nombreuses entreprises partent du principe que Microsoft protège automatiquement leurs identités. Pourquoi est-ce une erreur dangereuse ?

Patrick Stutz:
Microsoft ne s’occupe pas de la sauvegarde des données — Microsoft garantit la disponibilité des services.
Cela est d’ailleurs clairement stipulé dans les conditions contractuelles.

Source: https://www.microsoft.com/fr-ch/servicesagreement/ 

(Disponibilité des services, point b : « (…) Nous vous recommandons de sauvegarder régulièrement votre Contenu et vos Données que vous stockez sur les Services ou que vous stockez en utilisant des Applications et Services Tiers. »)

Pourquoi Entra ID constitue-t-il aujourd’hui une cible plus attractive que les serveurs ou bases de données classiques ?

Philippe Gmür:
Avec les clients, la cible des attaques s’est également déplacée vers le cloud.
Entra ID en constitue le cœur : si un attaquant parvient à usurper l’identité d’un client, il obtient un accès direct aux e-mails, à Teams, à SharePoint ainsi qu’à toutes les autres applications qui y sont liées.

Qu’a concrètement révélé la récente vulnérabilité d’Entra ID qui a surpris de nombreux responsables IT ?

Patrick Stutz:
Avec un effort relativement limité, il était possible de contourner les mécanismes d’autorisation d’Entra ID et d’obtenir un accès non autorisé.
Ce bug critique a été rapidement corrigé par Microsoft à l’automne 2025, mais il démontre clairement le niveau de criticité d’Entra ID.

Source : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-55241
https://blogs.microsoft.com/on-the-issues/2025/10/16/mddr-2025/
Au premier semestre 2025, les attaques basées sur l’identité ont augmenté de 32%.

Si un attaquant prend le contrôle d’Entra ID, que se passe-t-il concrètement dans l’entreprise durant les 60 premières minutes ?

Besnik Qerimi:
Durant les 60 premières minutes, il ne se passe généralement pas grand-chose de visible. La priorité de l’attaquant est d’abord de s’ancrer durablement dans l’environnement. Dès qu’il obtient des privilèges élevés dans Entra ID, l’objectif devient la persistance. L’attaquant met en place des portes dérobées, par exemple en créant de nouveaux comptes administrateurs discrets ou en modifiant des autorisations sur des applications existantes — des changements qui passent souvent inaperçus. Il peut également manipuler les politiques d’accès conditionnel afin de s’assurer qu’il ne puisse plus être bloqué. Au cours de ces premières heures, l’entreprise perd souvent déjà le contrôle de sa propre infrastructure.

Quels objets Entra ID ne sont aujourd’hui pas entièrement restaurables en cas de problème ?

Patrick Stutz:
Les politiques d’accès conditionnel (Conditional Access Policies) ne disposent d’aucune « corbeille » : une fois supprimées, elles sont définitivement perdues.
De même, l’attribution de rôles administrateurs ne peut pas être annulée immédiatement.

Avec une solution de sauvegarde CLOUD 2 CLOUD Entra ID Backup, ces éléments peuvent être restaurés immédiatement.

Pourquoi le mécanisme de récupération natif de Microsoft ne suffit-il pas dans de nombreux scénarios ?

Patrick Stutz:
Les modifications sont souvent détectées tardivement et ne sont alors plus disponibles via les outils standards proposés par Microsoft. CLOUD 2 CLOUD Entra ID Backup conserve un historique étendu des sauvegardes. Cela permet une restauration granulaire à partir de n’importe quel point dans le temps.

Que se passe-t-il techniquement lorsque des politiques d’accès conditionnel ou des rôles sont manipulés ?

Patrick Stutz:
Cela ouvre littéralement la porte aux données de l’entreprise. Les mécanismes de vérification d’identité sont alors contournés, permettant à des tiers d’accéder facilement aux données de l’organisation.

Quels changements de configuration sont particulièrement critiques parce qu’ils restent souvent longtemps inaperçus ?

Patrick Stutz:
Les comptes invités non maîtrisés ou l’absence de surveillance des autorisations d’applications en font partie. De même, des appareils enregistrés ponctuellement, qui ne sont plus activement gérés mais conservent un accès aux données.

La complexité et l’étendue fonctionnelle d’Entra ID comportent plusieurs risques de modifications de configuration non détectées.

Pourquoi la sauvegarde des identités est-elle techniquement plus complexe qu’une sauvegarde de données classique ?

Patrick Stutz:
La sauvegarde des données est essentielle, cela ne fait aucun doute. Cependant, la sauvegarde de Microsoft Entra ID couvre l’ensemble des éléments liés à Intune, aux politiques d’accès conditionnel, aux utilisateurs, aux groupes et aux rôles, afin de pouvoir les restaurer en cas de manipulation erronée. Ce processus de restauration est rendu très convivial par CLOUD 2 CLOUD Entra ID Backup, de sorte que la complexité technique sous-jacente reste transparente pour l’utilisateur.

À quelle fréquence observez-vous aujourd’hui des attaques qui ciblent principalement les identités plutôt que les données ?

Besnik Qerimi:
Nous constatons un déplacement clair des attaques.
Pourquoi un attaquant s’efforcerait-il de contourner des pare-feu s’il peut simplement prendre le contrôle d’une identité ? Souvent, l’accès à une identité (par exemple un administrateur) a bien plus de valeur que l’accès direct à un fichier isolé, car l’identité constitue la clé d’accès à l’ensemble des données.

Quelles sont les premières étapes typiques d’un attaquant après la compromission d’un token ?

Besnik Qerimi:
Après le vol d’un jeton de session (session token), l’attaquant contourne souvent l’authentification multifacteur (MFA), car le token fait croire au système que l’utilisateur est déjà authentifié. La première étape consiste alors fréquemment à enregistrer un nouveau dispositif MFA contrôlé par l’attaquant.
À partir de ce moment, il dispose d’un accès légitime — même si le mot de passe est modifié.

Pourquoi les attaques visant Entra ID restent-elles souvent longtemps indétectées (« silent attacks ») ?

Besnik Qerimi:
Parce qu’elles ressemblent à une activité normale. Une attaque par ransomware est bruyante : des systèmes deviennent indisponibles, des données sont chiffrées, etc.
Une attaque basée sur l’identité est silencieuse. Pour le SOC, il est extrêmement difficile de distinguer un administrateur effectuant des opérations de maintenance d’un attaquant agissant avec les mêmes privilèges. Tant qu’aucun incident visible ne survient, ces attaquants peuvent rester présents dans le système pendant des semaines, voire des mois, sans être détectés.

Du point de vue du SOC, qu’est-ce qui est le plus dangereux : un ransomware ou une manipulation d’identité ?

Besnik Qerimi:
D’un point de vue opérationnel, la manipulation d’identité est plus dangereuse. En cas de ransomware, le problème est immédiatement visible et un plan de reprise d’activité (disaster recovery) peut être déclenché.  En revanche, lors d’une manipulation d’identité, la perte de confiance est immédiate. On ne sait plus quels comptes sont encore sûrs. Cette policy a-t-elle été modifiée ? Cet utilisateur a-t-il réellement demandé cet accès ou s’agissait-il d’un attaquant ? La restauration est alors beaucoup plus complexe, car il ne suffit pas de rétablir une sauvegarde de la veille sans savoir si l’attaquant était déjà présent dans l’environnement.

Combien de temps faut-il en moyenne à une entreprise pour détecter la compromission de ses identités ?

Besnik Qerimi:
Sans surveillance spécialisée, il s’agit souvent de plusieurs semaines, voire de plusieurs mois. Dans de nombreux cas, la compromission n’est découverte que lorsqu’il est déjà trop tard pour limiter efficacement les dégâts.

Existe-t-il des erreurs de configuration typiques que les attaquants exploitent spécifiquement ?

Besnik Qerimi:
Le cas classique concerne les failles dans les politiques d’accès conditionnel. Il existe souvent des règles d’exception (par exemple pour des comptes de service) qui ne nécessitent pas de MFA et sont insuffisamment surveillées. Un autre problème majeur réside dans un nombre excessif d’utilisateurs disposant de droits Global Administrator. Les anciennes inscriptions d’applications, oubliées mais dotées de privilèges excessifs, constituent également un vecteur d’attaque fréquent, souvent négligé lors des audits.

Pourquoi les entreprises sous-estiment les identités

Pourquoi les entreprises investissent-elles des millions dans la sécurité, mais négligent les identités ?

Philippe Gmür:
La sauvegarde en général est déjà souvent sous-estimée ; la protection de l’infrastructure d’identités l’est encore davantage, car elle est moins tangible. Lorsqu’un incident survient, il est généralement trop tard. Selon ses propres conditions contractuelles, Microsoft se protège clairement en précisant qu’il garantit la disponibilité des services, mais n’est pas responsable de la sauvegarde des données et des configurations des clients.

Que disent typiquement les clients avant un incident — et que disent-ils après ?

Philippe Gmür:
Avant un incident :
« Notre cloud est sécurisé, nous avons la MFA et Microsoft s’occupe du reste. »
« Microsoft ne peut pas se permettre ce type de problème. »
« Nous sommes trop petits / pas assez importants pour intéresser des attaquants. »

Après un incident :
« Pourquoi personne ne nous a obligés à sécuriser Entra ID ? »

Le coût d’une interruption d’activité dépasse souvent de plusieurs fois le coût d’une prévention adéquate.

Quelle est l’hypothèse erronée que vous entendez le plus souvent lors des discussions commerciales ?

Philippe Gmür:
« La corbeille Microsoft (Recycle Bin) suffit comme solution de sauvegarde. »

De nombreux responsables IT — et même des dirigeants — confondent la restauration ponctuelle d’un utilisateur supprimé par erreur avec un véritable plan de reprise après sinistre (Disaster Recovery).

À quel moment la question du backup Entra ID devient-elle soudainement urgente pour les entreprises ?

Philippe Gmür:
Malheureusement, souvent lorsqu’il est déjà trop tard — ou lorsqu’un partenaire, une entreprise proche ou un concurrent a été touché. Actuellement, les audits externes, les exigences des assurances ou les réglementations constituent également des facteurs déclencheurs importants.

Quels secteurs sous-estiment aujourd’hui le plus ce risque ?

Philippe Gmür:
Il s’agit d’un problème transversal à l’ensemble des secteurs.

Patrick Stutz:
Entra ID n’est généralement pas le premier élément auquel on pense lorsqu’on parle de sauvegarde. Cependant, avec chaque nouvelle fonctionnalité publiée et l’extension continue de ses capacités, Entra ID devient de plus en plus central dans l’architecture cloud des entreprises. Il est donc essentiel que l’ensemble des données Entra ID soit sauvegardé et puisse être restauré de manière fiable en cas d’urgence.

Existe-t-il des scénarios dans lesquels un backup ne peut réellement plus rien sauver ?

Philippe Gmür:
Il faut ici faire la distinction : un backup Entra ID seul ne suffit pas. En revanche, un backup Entra ID combiné à une sauvegarde de données immuable (immutable backup) ainsi qu’à un plan de gestion de crise clair et éprouvé a déjà permis à de nombreuses entreprises de gagner un temps précieux en situation critique.

À quelle fréquence les entreprises devraient-elles tester leurs identités de manière réaliste afin d’être préparées en cas d’incident ?

Besnik Qerimi:
Une fois par an ne suffit pas. Le cloud évolue trop rapidement. D’un point de vue opérationnel, je recommande des tests trimestriels. Plus important encore que la sauvegarde elle-même est le test de restauration. De nombreuses entreprises disposent de backups, mais n’ont jamais vérifié si elles étaient réellement capables de restaurer une configuration Entra ID complexe sous pression.

Quelle serait votre mesure prioritaire si le budget ne permettait qu’un seul investissement supplémentaire en sécurité ?

Philippe Gmür:
Investir autant que possible dans le backup. Il s’agit d’une réalité statistique : les mesures de protection finissent tôt ou tard par échouer. C’est précisément à ce moment-là qu’une entreprise a besoin d’une sauvegarde indépendante afin de pouvoir reprendre rapidement le contrôle de ses systèmes.

L’avenir de la protection des identités

Les identités deviendront-elles, dans les prochaines années, la principale surface d’attaque ?

Patrick Stutz:
Les identités et les deepfakes vont occuper une place encore plus importante dans les années à venir. Aujourd’hui déjà, chacun peut générer des deepfakes et usurper des identités. Il suffit d’imaginer ce que cela représentera dans cinq ans.

Comment l’intelligence artificielle transforme-t-elle les attaques contre les systèmes d’identité ?

Patrick Stutz:
L’IA constitue un avantage pour les attaquants — mais également pour les défenseurs.
Les deux camps bénéficient de cette technologie. Cela ne change toutefois rien à la dynamique bien connue du jeu du chat et de la souris : la différence se fait simplement sur la rapidité et la capacité d’adaptation.

Le backup des identités deviendra-t-il, dans 3 à 5 ans, un standard comparable au backup M365 aujourd’hui ?

Besnik Qerimi:
Le backup des identités deviendra un standard. Il y a quelques années encore, beaucoup pensaient que M365 ne nécessitait pas de sauvegarde. Aujourd’hui, chacun sait que cette hypothèse était imprudente. Nous observons actuellement la même courbe d’apprentissage avec Entra ID.
Dans quelques années, aucun CISO ne pourra justifier pourquoi le cœur de l’infrastructure — les identités — n’est pas protégé par une sauvegarde indépendante.