Contactez-nous
Contactez-nous

Microsoft Entra ID : quand l’identité (re)-devient le nouveau périmètre de sécurité

La transformation des systèmes d’information a profondément remis en question les modèles de sécurité traditionnels. La généralisation du cloud, des applications SaaS et du travail hybride a rendu obsolète le périmètre réseau comme frontière de confiance. Aujourd’hui, les utilisateurs, les appareils et les applications sont distribués, mobiles et souvent exposés directement à Internet.

Dans ce contexte, l’identité s’impose comme un nouveau point de contrôle central de la sécurité des systèmes d’informations.

Microsoft Entra ID (anciennement Azure Active Directory) permet d’opérationnaliser ce changement de paradigme en remplaçant la confiance implicite par une évaluation continue du risque, basée sur l’identité et le contexte d’accès.

Nous vous proposons une lecture pragmatique d’Entra ID, orientée usages. L’objectif n’est pas de dresser un catalogue de fonctionnalités, mais de montrer comment déployer une stratégie Zero Trust par paliers, sans tout révolutionner, en tenant compte de la réalité des organisations et de leurs contraintes opérationnelles.

Vers une Identité Intelligente et Adaptative

Pendant de nombreuses années, la sécurité des systèmes d’information reposait sur une hypothèse simple : une fois authentifié et connecté au réseau interne, l’utilisateur était considéré comme digne de confiance. Cette logique fonctionnait dans des environnements fermés, majoritairement on-premise, où le réseau constituait une frontière claire.

Cette hypothèse ne tient plus. Les applications critiques sont désormais accessibles depuis Internet, les utilisateurs se connectent depuis des environnements hétérogènes et les attaques ciblent prioritairement les identités. Une compromission de compte suffit souvent à contourner l’ensemble des contrôles périmétriques.

"La sécurité réseau ne disparaît pas, mais elle ne suffit plus. Dans l’Accès Conditionnel, le réseau devient un signal parmi d’autres, intégré à une évaluation globale du contexte plutôt qu’un périmètre de sécurité à lui seul. En résumé, la sécurité moderne ne consiste plus à savoir d’où l’on se connecte, mais dans quel contexte.”
Benjamin R.Responsable Professional Services
Benjamin R.

Les modèles Zero Trust partent d’un principe radicalement différent : ne jamais faire confiance par défaut, même après une authentification réussie. Chaque accès doit être évalué, contextualisé et, si nécessaire, remis en question.

Microsoft Entra ID est l’un des principaux leviers techniques permettant de concrétiser cette approche à l’échelle.

Entra ID : de l’authentification à la décision en temps réel

Entra ID ne se limite pas à un annuaire d’identités cloud. Il agit comme un moteur de décision, capable d’évaluer chaque tentative d’accès à partir de signaux multiples : identité de l’utilisateur, identité des Workload et des agents IA, appartenance à des rôles sensibles, application ciblée, état de l’appareil, localisation, horaire ou comportement inhabituel.

À partir de ces éléments, Entra ID détermine dynamiquement le niveau de confiance à accorder. L’accès peut être autorisé sans friction, conditionné à une authentification renforcée ou bloqué.

Cette logique permet de sortir du modèle statique « une authentification = une session de confiance » pour aller vers une confiance conditionnelle, dynamique et réversible.

« D’après Riad, une compromission d’application OAuth ou de pipeline CI/CD est souvent plus dévastatrice qu’un vol de mot de passe utilisateur car elle permet une exfiltration automatisée et silencieuse de données massives. »   

Approche progressive : sécuriser sans tout révolutionner

L’un des points forts d’Entra ID est de permettre une montée en maturité progressive. Toutes les organisations n’ont ni les mêmes besoins, ni les mêmes licences, ni la même capacité de transformation. Une approche par paliers permet d’obtenir des bénéfices rapides, sans générer de rupture opérationnelle.

Le premier levier consiste à traiter les risques les plus élevés. Les comptes à privilèges, les portails d’administration et les applications critiques concentrent une grande partie de la surface d’attaque.

L’activation de l’authentification multifacteur pour ces accès constitue un gain de sécurité immédiat. Elle permet de neutraliser la majorité des attaques basées sur le vol de mots de passe, sans impacter l’ensemble des utilisateurs.

En parallèle, le blocage des protocoles d’authentification hérités supprime des vecteurs d’attaque encore largement exploités.

Ce premier palier est souvent réalisable avec des licences standard et offre un retour sur investissement sécurité très rapide.

Une sécurité efficace ne doit pas être aveugle au contexte. Imposer systématiquement les mêmes contrôles, quels que soient l’utilisateur ou la situation, génère de la friction et favorise les contournements.

L’accès conditionnel d’Entra ID permet d’ajuster le niveau de sécurité en fonction du risque réel. Un utilisateur accédant à une application depuis un poste conforme et un environnement habituel peut bénéficier d’une expérience fluide. Le même accès, réalisé depuis un appareil non maîtrisé ou une localisation inhabituelle, peut être soumis à des exigences supplémentaires, voire bloqué.

Dans le modèle SSE d’Entra, le réseau devient un attribut de l’identité. La fonctionnalité « Compliant Network » exige que la connexion provienne d’un point de terminaison réseau géré par l’organisation. Ainsi, le périmètre réseau n’est pas mort, il a été dématérialisé et intégré dans la décision d’Accès Conditionnel.

Cette capacité d’adaptation est essentielle pour concilier exigences de sécurité et continuité des usages, en particulier dans des environnements hybrides.

Malgré les politiques de sensibilisation, le phishing reste le principal vecteur de compromission des identités. Tant que l’authentification repose sur des secrets réutilisables, le risque persiste.

Les mécanismes d’authentification résistants au phishing, basés sur le standard FIDO2, permettent de franchir un cap. Ils éliminent la saisie du mot de passe et reposent sur des mécanismes cryptographiques liés au service légitime. Même en cas de tromperie de l’utilisateur, l’attaque devient techniquement inexploitable.

Dans Entra ID, ces mécanismes peuvent être déployés de manière ciblée, en commençant par les administrateurs et les profils sensibles, avant une généralisation progressive. Cette approche permet de concentrer l’effort là où l’impact serait maximal, tout en préparant une évolution plus large des usages.

La sécurité des identités ne se limite pas au moment de l’authentification. Avec le temps, les droits s’accumulent, les rôles évoluent et les comptes tiers persistent au-delà de leur utilité réelle.

Les capacités de gouvernance d’Entra ID permettent d’introduire des mécanismes structurants : accès temporaires, processus de demande et d’approbation, révocation automatique des droits et revues régulières des accès.

Cette approche réduit le risque lié aux accès dormants et améliore significativement la traçabilité, tout en diminuant la charge opérationnelle des équipes IT.

Entra ID, socle d’une stratégie Zero Trust et de cyber résilience

En plaçant l’identité au centre des décisions d’accès, Entra ID constitue un socle solide pour une stratégie Zero Trust pragmatique. Il permet de limiter l’impact des compromissions, d’améliorer la détection des comportements anormaux et de renforcer la résilience globale du système d’information.

Les cadres réglementaires récents, tels que NIS2 ou DORA, renforcent cette dynamique en exigeant des contrôles d’accès robustes, contextualisés et auditables. Sans se substituer à une stratégie globale de cybersécurité, Entra ID apporte une base technique cohérente et immédiatement exploitable pour répondre à ces exigences.

L’Identité à l’Ère de l’IA : Microsoft Entra Agent ID

L’intégration massive d’agents d’intelligence artificielle autonomes ou assistés dans les flux de travail nécessite un nouveau cadre d’identification. Microsoft a introduit l’Agent ID, une identité spécialisée permettant de gouverner et de protéger les agents IA avec la même rigueur que les identités humaines.   

  • Blueprints et Cycle de Vie des Agents

L’architecture Agent ID repose sur le concept de « Agent Identity Blueprint ». Un blueprint sert de modèle définissant les capacités, les permissions et les limites de gouvernance pour une classe d’agents. Lorsqu’un agent est créé à partir d’un blueprint, il hérite de ces propriétés, ce qui permet une gestion à l’échelle industrielle plutôt qu’individuelle.   

Les agents peuvent adopter trois modes de fonctionnement :   

  1. Agents assistés : Effectuent des tâches spécifiques à la demande (ex: analyse de données).
  2. Agents autonomes : Opèrent indépendamment (ex: surveillance de logs, déploiement d’infrastructure).
  3. Agents Utilisateurs : Conçus avec des caractéristiques humaines, incluant des boîtes aux lettres et des calendriers.

La protection de ces agents inclut l’utilisation de l’Accès Conditionnel spécifique aux agents et la détection de risques liés à des activités anormales ou des tentatives d’injection de prompts. Chaque agent doit avoir un « sponsor » humain responsable de sa supervision, et les workflows de cycle de vie garantissent que l’accès n’est pas maintenu si le sponsor quitte l’organisation.   

De l’identité à la décision continue : construire une architecture Zero Trust orientée cyber résilience

Microsoft Entra ID illustre le basculement d’un modèle de sécurité fondé sur la confiance implicite vers une logique de décision continue, pilotée par le risque et le contexte. Sa force réside dans sa capacité à être déployé progressivement, en apportant des gains de sécurité mesurables à chaque étape.

En faisant de l’identité le nouveau périmètre de sécurité, les organisations se donnent les moyens de construire une architecture Zero Trust réaliste, adaptée aux usages et orientée vers la cyber résilience.

Cependant, se focaliser sur l’identité comme périmètre nous fait bien comprendre que la sécurité ne s’arrête pas une fois l’authentification réussie. Le vol de jetons de session (Pass-the-Cookie) montre que même avec un MFA fort, un attaquant peut usurper une identité déjà validée, et c’est bien tout l’enjeu. La réponse technique n’est pas seulement l’identité, mais le durcissement du terminal (Token Protection) et l’évaluation continue, ou la prise en compte des nouveaux risques émergeant autour de l’IA notamment agentique.

Étiqueté
Découvrez nos offres
Vos enjeux
Une solution pour chaque secteur et chaque fonction
Quel que soit votre secteur d’activité ou votre rôle au sein de votre organisation, il existe forcément une solution Tersedia qui vous correspond.
Par secteurs

Finance et Assurance

Santé

Secteur public

Services et Distribution

Industrie

Éditeurs logiciels
Par fonctions

Dirigeant

DSI

Responsable Infrastructures

RSSI
Nos offres
Notre offre
de services
Notre offre de services

Notre palette d’offres adaptées à vos besoins d’infrastructures.

it-as-a-service
IT-as-a-service
Solution informatique clé en main
Infrastructure Secured by Design
Infrastructure Secured by Design
Sécurisé dès la conception
Cyber SOC
Cyber SOC
Supervision & sécurité opérationnelle de votre IT
Services managés
Services managés
Accompagnement personnalisé
Professional services
Professional services
Gestion des actifs informatiques