Combattre le vol d’identifiants avec l’automatisation

La réponse au casse-tête des CISOs

Tribune SASETY


Plus de 24 Milliards d’identifiants volés sont disponibles sur Internet et le Darkweb.

Leur exploitation par les groupes de cybercriminels représente le premier vecteur d’attaque, loin devant le phishing et l’exploitation de vulnérabilités.

En utilisant ces identifiants, les attaquants prennent le contrôle des comptes utilisateurs et exposent les organisations à des violations, à des ransomwares et au vol de données.

 

Bien que les CISOs soient conscients de cette menace et disposent souvent d’outils pour réduire ce risque, l’actualité démontre que leur application s’avère largement insuffisante.

Une démarche structurée et continue permet de réduire l’exposition au risque mais elle représente une charge trop importante pour des équipes sécurité souvent limitées.

L’automatisation de la détection et de l’identification des risques réels pour l’organisation constitue la seule réponse adaptée à la dynamique des cybermenaces.

 

Nature du risque

 

80% des violations d'applications Web impliquent des identités compromises.

Les attaquants utilisent des techniques comme l'ingénierie sociale, la force brute et l'achat d'identifiants sur le Darkweb pour compromettre les identités et obtenir un accès aux ressources des organisations. 

 

Ils tirent souvent parti des faiblesses suivantes :

  • Mot de passe unique entre plusieurs applications
  • Mot de passe commun entre applications personnelles et professionnelles
  • Mots de passe stockées dans les navigateurs
  • Réutilisation de mots de passe ou durée de vie importante
  • Identifiants non utilisés (collaborateurs ayant quitté l’entreprise, prestataires, comptes de service, etc.)
  • Mots de passe partagés entre différents utilisateurs

 

Le principal défi pour l'organisation est que les attaquants n'ont besoin que d'un seul identifiant valide pour s'introduire. 

 

Mitigation du risque

 

Pour réduire leur exposition au risque, les organisations doivent se concentrer sur ce qui est exploitable du point de vue des attaquants. 

 

Une méthodologie efficace repose sur les étapes suivantes :

 

  1. Collecter les identifiants dérobés

 

Pour commencer à résoudre le problème, les équipes sécurité doivent collecter des données sur les identifiants qui ont été dérobés à divers endroits du Web et sur le Darkweb.

Des outils comme HaveIBeenPwned ou celui de l’Institut Hass-Platner sont utiles.

Cette étape permet d’obtenir un premier état de la situation et d’identifier les comptes individuels qui doivent être mis à jour.

 

    2.  Identifier le risque d’exposition réel

 

Une fois les données collectées, les équipes sécurité doivent déterminer quels identifiants peuvent être réellement exploités. 

Pour ce faire, elles doivent utiliser des techniques similaires à celles des attaquants :

  • Vérifier si les identifiants permettent l'accès aux ressources externes, tels que les services Web et les bases de données
  • Tenter de déchiffrer les hachages de mots de passe capturés
  • Valider les correspondances entre les identifiants dérobés et les outils de gestion des identités de l'organisation, tels que l’Active Directory
  • Tester des variantes pour identifier de nouvelles identités qui pourraient être compromises : les utilisateurs utilisant généralement les mêmes modèles de mot de passe


   3.  Réduire le risque d’exposition

Après avoir validé les identifiants dérobés qui exposent réellement l’organisation, les équipes sécurité doivent prendre des mesures ciblées pour atténuer le risque. 

Par exemple :

  • Supprimer les comptes inactifs divulgués de l’Active Directory
  • Initier des changements de mot de passe pour les utilisateurs actifs
  • Revoir les processus et la politique de gestion des mots de passe (durcissement, cycle de vie)

 

   4.  Mettre en place une démarche de validation continue

 

Les techniques des attaquants tout comme la surface d'attaque des organisations évoluent en permanence, en particulier en termes de comptes utilisateurs. 

Par conséquent, un effort ponctuel pour identifier, vérifier et réduire le risque d’exposition des identifiants est insuffisant. 

 

Pour combattre durablement ce risque, les organisations doivent adopter une démarche de traitement continu.

Cependant, la charge que représente ces actions manuelles est trop importante pour des équipes de sécurité aux ressources limitées.

 

La seule façon de gérer efficacement la menace est d'automatiser le processus de validation.

 

Automatisation 

 

Depuis 2021, le cabinet Gartner a introduit cette automatisation au travers des concepts « Automated Penetration Test and Red Team Tool » et « External Attack Surface Management ».

Ces concepts rassemblent des techniques visant à identifier de façon continue les risques exposant la surface d’attaque des organisations afin de concentrer le travail de remédiation sur les risques avérés.

Parmi les acteurs, la société Pentera constitue aujourd’hui le leader de la cybervalidation automatisée.

Utilisant les dernières techniques d’attaques les plus avancées, leur solution permet de réaliser de façon automatique et continue des attaques éthiques afin de mettre en évidence les vulnérabilités statiques et dynamiques. 

Ces tests sont exécutés aussi bien depuis l’extérieur que depuis l’intérieur de l’organisation, permettant de couvrir toute la surface d’attaque.

 

Parmi les fonctionnalités, le module « Leaked Credentials » automatise les étapes de découverte des identifiants dérobés et la vérification de l’exposition qu’ils représentent pour l’organisation :

  • Sur les services externes (SaaS, sites Web, messagerie)
  • Sur les services internes (applications, postes de travail, serveurs, éléments d’infrastructure).

 

Le résultat de ces investigations présente les vecteurs d’attaques complets ainsi que la description des actions de remédiation à réaliser par les équipes sécurité.

La communication avec des outils de type SIEM ou ITSM permet d’intégrer ce processus dans le processus global de gestion du risque de cybersécurité.

 

Ces solutions correspondent à l’avenir de la surveillance, de la détection et de la prévention des menaces.


Remerciements : Éli Domoshnitski, product manager, Pentera

💡 Pour découvrir la cybervalidation automatisée de Pentera, rien de tel qu’une démo ! 👀

A vos agendas 📅 👇

Réserver une démo

 👀 Pour en savoir plus sur Pentera 👇

En savoir plus

Fighting credential theft with automation

The answer to the CISOs puzzle

 

More than 24 billion stolen credentials are available on the Internet and the Dark Web. Their exploitation by cybercriminal groups represents the first attack vector, far ahead of phishing and vulnerabilities exploits. By using these credentials, attackers take control of user accounts and expose organizations to breaches, ransomware, and data theft.

 

Although CISOs are aware of this threat and often have tools to reduce this risk, daily news show that their application is largely insufficient. A structured and continuous approach reduces risk exposure, but it is too much of a burden for often limited security teams. Automating the detection and identification of real risks to the organization is the only appropriate response to cyber threat dynamics.

 

Nature of risk

 

80% of web application violations involve compromised identities. Attackers use techniques like social engineering, brute force, and buying credentials on the dark web to compromise identities and gain access to organizations' resources.

 

They often take advantage of the following weaknesses:

  • Same password between multiple applications
  • Same password between personal and business applications
  • Passwords stored in browsers
  • Password reuse or long lifespan
  • Unused identifiers (employees who have left the company, service providers, service accounts, etc.)
  • Passwords shared between different users


The main challenge for the organization is that attackers only need one valid ID to break in.

 

Risk mitigation

 

To reduce their risk exposure, organizations need to focus on what is exploitable from the attackers' perspective.

 

An effective methodology is based on the following steps:


  1. Collect stolen credentials


To start fixing the problem, security teams need to collect data on credentials that have been stolen from various locations on the web and on the dark web. Tools like HaveIBeenPwned or the Hass-Platner Institute are useful. This step provides an initial status report and identifies individual accounts that need to be updated.


    2.   Identify the actual risk of exposure

 

Once the data is collected, security teams need to determine which credentials can actually be leveraged.

To do this, they must use techniques similar to those of attackers:


  • Check whether credentials allow access to external resources, such as web services and databases
  • Attempt to crack captured password hashes
  • Validate matches between stolen credentials and the organization's identity management tools, such as Active Directory
  • Test variants to identify new identities that could be compromised: users typically using the same password patterns

 

    3. Reduce the risk of exposure

 

After validating stolen credentials that actually expose the organization, security teams must take targeted actions to mitigate the risk.

For instance:

  • Remove disclosed inactive accounts from Active Directory
  • Initiate password changes for active users
  • Review password management processes and policy (hardening, lifecycle)

 

    4. Implement a continuous validation process


Attackers' techniques as well as organizations' attack surfaces are constantly evolving, especially in terms of user accounts. Therefore, a one-time effort to identify, verify and reduce the risk of exposure of identifiers is insufficient. To sustainably combat this risk, organizations must adopt a continuous treatment approach. However, the burden of these manual actions is too great for security teams with limited resources.

 

The only way to effectively manage the threat is to automate the validation process.


Automation 

 

Since 2021, Gartner has introduced this automation through the concepts of "Automated Penetration Test and Red Team Tool" and "External Attack Surface Management". These concepts bring together techniques to continuously identify risks exposing the attack surface of organizations in order to focus remediation work on proven risks.

Among the players, Pentera is now the leader in automated cyber validation.

Using the latest and most advanced attack techniques, their solution allows automatic and continuous ethical attacks to highlight static and dynamic vulnerabilities. These tests are run from both outside and inside the organization, covering the entire attack surface.

 

Among the features, the "Leaked Credentials" module automates the steps of discovery of stolen identifiers and the verification of the exposure they represent for the organization:

  • On external services (SaaS, websites, messaging)
  • On internal services (applications, workstations, servers, infrastructure elements)


The result of these investigations presents the complete attack vectors as well as the description of the remediation actions to be carried out by the security teams. Communication with SIEM or ITSM tools makes it possible to integrate this process into the overall cybersecurity risk management process. These solutions are the future of threat monitoring, detection, and prevention. paragraphe


Thanks : Éli Domoshnitski, product manager, Pentera

Tribune | IA génératives : reprendre la main, la vision de SASETY pour les entreprises

Tribune | IA génératives : reprendre la main, la vision de SASETY pour les entreprises

par SASETY 21 mai 2025
Les intelligences artificielles génératives (IA GenAI) transforment les pratiques professionnelles : création de contenus, automatisation des tâches, assistance au développement… leur potentiel est considérable. Mais cette adoption rapide, souvent non encadrée, engendre des risques croissants : perte de contrôle sur les données, Shadow IT, non-conformité RGPD, et fuites d’informations sensibles. Ce phénomène porte désormais un nom : le GenAI Sprawl. Dans cette tribune, Jérôme Beaufils, CEO de SASETY, alerte sur cette prolifération incontrôlée des outils d’IA générative et propose une réponse concrète, fondée sur une combinaison de technologie cloud-native et d’accompagnement expert. Grâce à la plateforme SASE de Cato Networks, intégrant les solutions CASB (Cloud Access Security Broker) et DLP (Data Loss Prevention), les entreprises peuvent enfin encadrer, superviser et sécuriser les usages de l’IA générative en toute conformité. Encadrer l’usage des IA, ce n’est pas freiner l’innovation,
Podcast + Tribune | SSE vs SASE - Quelle est la différence ?

Podcast + Tribune | SSE vs SASE - Quelle est la différence ?

par SASETY 15 mai 2025
SASETY vous invite à explorer dans ce podcast de Cato Networks, les différences fondamentales entre le SASE (Secure Access Service Edge) et le SSE (Security Service Edge), deux approches clés pour garantir la sécurité et la performance des réseaux modernes. Vous y trouverez leurs avantages, ainsi que des cas d’usage concrets adaptés aux entreprises d’aujourd’hui. 💡Que vous soyez un expert en IT ou simplement curieux des dernières évolutions en matière de sécurité réseau, vous y trouverez des réponses claires aux défis posés par le SASE et le SSE. 🎧 Écoutez dès maintenant et découvrez comment choisir la solution idéale en fonction des besoins de votre entreprise.
SASETY x Pentera - Cybervalidation continue - Testez, Validez, Sécurisez votre système d'information

Partenariat | SASETY x Pentera - Cybervalidation continue - Testez, Validez, Sécurisez votre système d'information

par SASETY 6 mai 2025
Chez SASETY, nous avons une mission : offrir à nos clients une cybersécurité proactive et automatisée. C’est pourquoi depuis 3 ans nous sommes associés à Pentera, le pionnier de la Cybervalidation continue. Pourquoi Pentera est une révolution ? 🔹 Simulez des attaques en toute sécurité et identifiez vos failles de sécurité avant les hackers 🔹 Automatisez les tests d’intrusion et renforcez vos défenses sans effort 🔹 Agissez en temps réel avec une visibilité complète sur votre posture de sécurité Avec Pentera, passez d’une approche défensive à une cybersécurité offensive et maîtrisée !
SASETY - Tribune | MFA & conformité CNIL : interview croisée entre droit et cybersécurité

Tribune | MFA & conformité CNIL : interview croisée entre droit et cybersécurité

par SASETY 2 mai 2025
Dans cet article, nous vous proposons une interview exclusive de Gaëlle TILLOY, Avocate à la Cour, spécialiste des nouvelles technologies et des données personnelles et Marc SCHMITT, consultant senior cybersécurité chez SASETY, partenaire de Silverfort. Ensemble, ils décryptent les obligations réglementaires liées à la MFA (authentification multifacteur), à la lumière de la dernière recommandation de la CNIL (mars 2025). L’article aborde les bonnes pratiques de déploiement de la MFA, son intégration dans une démarche conforme au RGPD, les exigences techniques de l’ANSSI, les risques juridiques en cas de manquement, ainsi que les précautions à prendre en matière de biométrie. Un contenu essentiel pour les RSSI, DPO, DSI et juristes IT souhaitant concilier sécurité, conformité et efficacité opérationnelle.
EVENT | SASETY partenaire du Future of IT 2025 : L'innovation au service de la transformation IT

Event | SASETY partenaire du Future of IT 2025 : L'innovation au service de la transformation IT et de la cybersécurité

par SASETY 29 avril 2025
SASETY sera partenaire et présent pour la deuxième année consécutive au Future of IT ! 📅📍 Retrouvons-nous le 19 juin 2025 au Pavillon Vendôme pour échanger sur les dernières innovations en SASE, Cybervalidation Automatisée et Protection Des Identités. Aux côtés de nos partenaires technologiques de référence : @Cato Networks, @Pentera et @Silverfort, nous vous présenterons comment révolutionner vos stratégies IT et cybersécurité.
Communiqué | SASETY – Résultats 2024 : Une croissance soutenue

Communiqué | SASETY – Résultats 2024 : Une croissance soutenue

par SASETY 10 avril 2025
SASETY, l’expert européen des services SASE et Cybersécurité managée, a bouclé son bilan annuel 2024 sur une dynamique de croissance forte, marquée par une consolidation de son portefeuille client, une expansion européenne et un positionnement renforcé autour d’une cybersécurité intégrée, proactive et accessible. Des solutions complémentaires pour faire face à des menaces toujours plus avancées En réponse à l’évolution rapide des cybermenaces, SASETY a renforcé ses offres autour de trois piliers technologiques complémentaires : Cato Networks, pour une sécurité et une connectivité réseau unifiées dans le cloud via l’architecture SASE ; Silverfort, pour une protection dynamique et contextuelle des identités et des accès ; Pentera, pour l’automatisation des tests de pénétration et l’anticipation des failles avant leur exploitation. Ces solutions, mises en œuvre et opérées par les équipes de SASETY, permettent aux organisations de toutes tailles de construire une posture de sécurité robuste, continue et mesurable
SASETY- Etat de la menace en 2025, stratégies de protection.Que retenir du retenir du rapport CATO?

Tribune | Cybersécurité - Etat de la menace en 2025 et stratégies de protection. Que retenir du Rapport Cato CTRL 2025 de CATO Networks ? L’analyse de SASETY

par SASETY 1 avril 2025
Contexte 2025 L'année 2025 marque un tournant dans le domaine de la cybersécurité. Les organisations, qu'il s'agisse d’institutions publiques, d’hôpitaux, de banques, de multinationales ou de PME, font face à des cybermenaces d'une ampleur et d'une sophistication inédites. L’essor des technologies émergentes comme l’intelligence artificielle, la généralisation des services cloud et la multiplication des objets connectés ont considérablement élargi la surface d’attaque des systèmes d’information. Dans ce contexte, il ne s’agit plus simplement de se protéger contre des virus informatiques ou des intrusions ponctuelles, mais de faire face à des cybercriminels organisés, souvent soutenus par des États, qui ciblent les organisations de manière méthodique et stratégique. L’évolution des cyberattaques ne se limite plus aux simples ransomwares ou aux campagnes d’hameçonnage classiques. Aujourd’hui, les assaillants exploitent des vulnérabilités en temps réel, manipulent des données grâce à l’intelligence
4 ans de partenariat I Quand SASETY rencontre CATO Networks, c’est une évidence !

4 ans de partenariat I Quand SASETY rencontre CATO Networks, c’est une évidence !

par SASETY 20 mars 2025
Il y a 4 ans nous avons choisi de nous associer à CATO Networks, LA référence du SASE (Secure Access Service Edge) afin d'offrir à nos clients une approche moderne, agile et ultra-sécurisée du réseau et de la cybersécurité. Pourquoi CATO Networks ? Parce que, comme nous, ils croient en un monde où performance rime avec simplicité. Ensemble, nous apportons une solution unifiée, pensée pour répondre aux défis actuels : 🔹Un réseau et une cybersécurité 100% cloud, scalable et sans complexité. 🔹 Une protection optimale, où que soient vos équipes. 🔹 Une gestion simplifiée et pilotable en temps réel. Ce partenariat, c’est la garantie d’une transformation réseau fluide et sécurisée. Chez SASETY, nous avons une mission : simplifier la vie de nos clients !
EVENT | Les clés du succès du partenariat Pentera x SASETY pour une cyberdéfense proactive- Partner

Event | Les clés du succès du partenariat Pentera x SASETY pour une cyberdéfense proactive- Partner vSummit 2025

par SASETY 14 février 2025
Hier, à l’occasion du Pentera Partner vSummit 2025, notre #CEO Jérôme Beaufils et Nadav Elkiess, Regional Sales Manager chez Pentera, ont partagé les trois piliers clés du succès du partenariat @SASETY x @Pentera : 🔹 Une vision commune : Une cybersécurité proactive grâce à la cybervalidation continue de l’ensemble de la surface d’attaque. 🔹 Une collaboration étroite : Un accompagnement permanent à chaque étape de la relation client. 🔹 Des expertises complémentaires : L’alliance des technologies et des services pour répondre précisément aux besoins de nos clients. Aujourd’hui, près de 40 organisations s’appuient sur #SASETY x #Pentera pour renforcer leur posture de sécurité, réduire leur exposition aux cyberattaques et se conformer aux exigences des réglementations (DORA, NIS2…). Un grand merci aux équipes Pentera pour cette invitation, qui témoigne de notre engagement commun à faire évoluer la cybersécurité vers plus de résilience et d’efficacité !
Avis d'expert | Comment protéger efficacement ses Identités et l'accès à ses ressources IT

Avis d'expert | Comment protéger efficacement ses Identités et l'accès à ses ressources IT

par SASETY 30 janvier 2025
Comment protéger efficacement ses Identités et l'accès à ses ressources IT Protection des identités et des accès : Une contrainte devenue priorité Dans un monde de plus en plus connecté, la protection des identités et des accès est devenue une priorité absolue pour les entreprises comme pour les particuliers. Les cyberattaques se multiplient et se sophistiquent, mettant en danger les données sensibles et la confidentialité des accès. 85 % des attaques proviennent d'une défaillance dans la protection des éléments d'identité, soulignant ainsi l'importance de protéger les identités numériques ainsi que les accès associés. Malgré toutes les technologies de sécurité, le facteur humain joue un rôle essentiel. L'humain constitue le plus grand risque et la plus grande protection face aux cybermenaces. Les erreurs humaines, telles que l'utilisation de mots de passe faibles ou le partage imprudent d'informations sensibles, peuvent gravement compromettre la sécurité.
Voir plus