Toutes les organisations ont du mal à répondre aux questions de sécurité soulevées par l'émergence des agents d'IA. C'est dans le domaine de l'infrastructure de sécurité des identités que ces questions revêtent une importance capitale.
Les cyberattaquants ciblent sans relâche les environnements hybrides Active Directory, Entra ID et Okta, car s’ils parviennent à prendre le contrôle du système d’identité, ils peuvent alors prendre le contrôle de l’ensemble du réseau. Sans infrastructure d’identité opérationnelle, l’activité de l’entreprise est paralysée, les utilisateurs ne pouvant plus accéder aux applications et services essentiels.
Ce guide pratique est spécifiquement consacré aux identités des agents Entra ID et aux attaques qui les visent. Élaboré par l'équipe de recherche de Semperis, ce guide est divisé en chapitres consultables destinés à aider les organisations à comprendre l'approche adoptée par Microsoft concernant les identités humaines et non humaines dans Entra ID, ainsi que les moyens dont elles disposent pour protéger ces actifs critiques contre les acteurs malveillants.
Au fil des chapitres, vous trouverez des liens et des références vers des « points de contrôle pratiques »: de brèves mini-démonstrations pratiques qui illustrent précisément les objets et les comportements dont nous parlons. Si vous êtes ici pour acquérir le modèle mental, n’hésitez pas à les parcourir rapidement. Si vous effectuez des tests dans votre propre tenant, c’est le moyen le plus rapide de suivre le guide. Chaque « Practice Checkpoint » est autonome et comporte une liste actualisée d’identifiants (blueprint, principal, identité de l’agent, utilisateur de l’agent) afin que les articles suivants du guide puissent faire référence aux mêmes objets.
Prêts ? C'est parti !
Contenu de la série
- Découvrez les identités des agents d'Entra ID (au fait, ce ne sont pas des personnes)
- La taxonomie des identités de charge de travail dans Entra ID : applications d'entreprise, entités de service et autres formes de confusion organisée
- Comprendre l'identifiant Microsoft Agent et la plateforme d'identité Agent
- Identités des agents : analyse approfondie de la conception
- Le registre des agents : ce n'est pas le registre auquel vous pensez
- Les risques liés aux identités d'agents dans Entra ID… et comment éviter la catastrophe
- Exercice pratique n° 1 : Création d'un identifiant d'agent avec MS Graph
- Point de contrôle n° 2 : configuration des autorisations d'identité des agents
- Exercice n° 3 : Enregistrement d'un agent — avec et sans identifiant d'agent
- Point de contrôle n° 4 : vérification des jetons et des revendications dans trois flux d'authentification
Clause de non-responsabilité
Ce guide s'appuie sur la documentation officielle de Microsoft, des présentations publiques et des observations personnelles. Les fonctionnalités liées à l'identifiant d'agent étant encore en préversion publique, veuillez noter que certains comportements, API et éléments de l'interface utilisateur sont susceptibles d'évoluer au fil du temps.
