Un leader du Magic Quadrant™ Gartner® 2025 pour la Protection des Endpoints. Cinq ans de suite.Un leader du Magic Quadrant™ Gartner®Lire le rapport
Votre entreprise est la cible d’une compromission ?Blog
Demander une démo Contactez nous
Header Navigation - FR
  • Plateforme
    Aperçu de la plateforme
    • Singularity Platform
      Bienvenue sur le site de la sécurité intégrée de l'entreprise
    • IA pour la sécurité
      Référence en matière de sécurité alimentée par l’IA
    • Sécurisation de l’IA
      Accélérez l’adoption de l’IA avec des outils, des applications et des agents d’IA sécurisés.
    • Comment ça marche
      La Différence de Singularity XDR
    • Singularity Marketplace
      Des intégrations en un clic pour libérer la puissance de XDR
    • Tarification et Packages
      Comparaisons et conseils en un coup d'œil
    Data & AI
    • Purple AI
      Accélérer le SecOps avec l'IA générative
    • Singularity Hyperautomation
      Automatiser facilement les processus de sécurité
    • AI-SIEM
      Le SIEM IA pour le SOC autonome
    • Singularity Data Lake
      Propulsé par l'IA, unifié par le lac de données
    • Singularity Data Lake For Log Analytics
      Acquisition transparente de données à partir d'environnements sur site, en nuage ou hybrides
    Endpoint Security
    • Singularity Endpoint
      Prévention, détection et réaction autonomes
    • Singularity XDR
      Protection, détection et réponse natives et ouvertes
    • Singularity RemoteOps Forensics
      Orchestrer la criminalistique à l'échelle
    • Singularity Threat Intelligence
      Renseignement complet sur l'adversaire
    • Singularity Vulnerability Management
      Découverte d'actifs malhonnêtes
    • Singularity Identity
      Détection des menaces et réponse à l'identité
    Cloud Security
    • Singularity Cloud Security
      Bloquer les attaques avec un CNAPP alimenté par l'IA
    • Singularity Cloud Native Security
      Sécurisation des ressources de développement et de l'informatique en nuage
    • Singularity Cloud Workload Security
      Plateforme de protection des charges de travail en nuage en temps réel
    • Singularity Cloud Data Security
      Détection des menaces par l'IA
    • Singularity Cloud Security Posture Management
      Détecter les mauvaises configurations dans le cloud et y remédier
    Sécurisation de l’IA
    • Prompt Security
      Sécuriser les outils d’IA dans l’ensemble de l’entreprise
  • Pourquoi SentinelOne ?
    Pourquoi SentinelOne ?
    • Pourquoi SentineOne ?
      La Cybersécurité au service de l’avenir
    • Nos clients
      Reconnue par des Grandes Entreprises du monde entier
    • Reconnaissance du Marché
      Testé et Éprouvé par les Experts
    • A propos de nous
      Le Leader de l’Industrie de la Cybersécurité Autonome
    Comparer SentinelOne
    • Arctic Wolf
    • Broadcom
    • Crowdstrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Secteurs
    • Energie
    • Gouvernement Fédéral
    • Services Financiers
    • Santé
    • Enseignement Supérieur
    • Enseignement Primaire et Secondaire
    • Industrie
    • Vente au Détail
    • Collectivités territoriales
  • Services
    Services managés
    • Vue d’Ensemble des Services Managés
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Expertise de niveau mondial et Cyber Threat Intelligence.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      DFIR, préparation aux violations & évaluations de compromission.
    Support, Déploiement et Hygiène
    • Gestion Technique des Comptes
      Service Personnalisé pour la réussite de nos clients
    • SentinelOne GO
      Conseil pour l’Intégration et le Déploiement
    • SentinelOne University
      Formation live ou à la demande
    • Vue d’ensemble des Services
      Des solutions complètes pour des opérations de sécurité fluides
    • SentinelOne Community
      Connexion à la Communauté
  • Partenaires
    Notre réseau
    • Partenaires MSSP
      Réussir plus rapidement avec SentinelOne
    • Singularity Marketplace
      Etendez le pouvoir de la technologie S1
    • Partenaires Risques Cyber
      Enrôlez les équipes pour gérer les Réponses à Incident
    • Partenaires Technologiques
      Intégrée, la Solution Enterprise à grande échelle
    • SentinelOne pour AWS
      Hébergé dans les Régions AWS du Monde Entier
    • Partenaires commerciaux
      Apportons ensemble les meilleures solutions
    • SentinelOne for Google Cloud
      Sécurité unifiée et autonome offrant aux défenseurs un avantage à l’échelle mondiale.
    Aperçu de la plateforme→
  • Ressources
    Ressources
    • Fiches techniques
    • eBooks
    • Livres Blancs
    • Events
    Voir toutes les Ressources→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identité
    • Cloud
    • macOS
    • Blog SentinelOne
    Blog→
    Ressources Tech
    • SentinelLABS
    • Glossaire du Ransomware
    • Cybersecurity 101
  • A propos de
    A propos de SentinelOne
    • A propos de SentinelOne
      Le Leader de l’Industrie en Cybersécurité
    • SentinelLabs
      La Recherche sur les Menaces pour le Chasseur de Menaces Moderne
    • Carrières
      Les Dernières Offres d’Emploi
    • Press
      Annonces de l’Entreprise
    • Blog Cybersecurité
      Les dernières menaces en matière de cybersécurité
    • FAQ
      Obtenez des réponses aux questions les plus fréquentes
    • DataSet
      La Plateforme en live
    • S Foundation
      Assurer un Avenir Plus Sûr pour Tous
    • S Ventures
      Investir dans la Nouvelle Génération d’outils de Sécurité et de Données
Demander une démo Contactez nous
Background image for Meilleures pratiques de sécurité pour l'accès à distance : Guide complet
Cybersecurity 101/Sécurité de l'identité/Meilleures pratiques de sécurité pour l'accès à distance

Meilleures pratiques de sécurité pour l'accès à distance : Guide complet

Guide pratique sur la sécurité de l'accès à distance couvrant le renforcement VPN, SSH et RDP ; la mise en œuvre du Zero Trust ; et la surveillance des sessions pour stopper les attaques par compromission d'identifiants.

CS-101_Identity.svg
Sommaire
Qu'est-ce que la sécurité de l'accès à distance ?
Pourquoi la sécurité de l'accès à distance est-elle importante ?
Risques courants liés à la sécurité de l'accès à distance
Bonnes pratiques pour la sécurité de l'accès à distance
Renforcement des VPN
Renforcement de SSH
Renforcement de RDP
Mise en œuvre du Zero Trust
Contrôles d'accès des tiers et fournisseurs
Imposer une MFA résistante au phishing
Vérifier la posture de l'appareil avant d'accorder l'accès
Surveiller les sessions en continu
Appliquer la gestion des accès privilégiés pour les comptes d'administration à distance
Comment SentinelOne renforce la sécurité de l'accès à distance
Points clés à retenir

Articles similaires

  • Qu'est-ce que NTLM ? Risques de sécurité NTLM sous Windows et guide de migration
  • Mot de passe vs Passkey : Principales différences et comparaison de sécurité
  • Comment corriger l’erreur de manipulation du jeton d’authentification ?
  • Qu'est-ce que l'authentification sans mot de passe ? Principes fondamentaux expliqués
Auteur: SentinelOne | Réviseur: Arijeet Ghatak
Mis à jour: March 16, 2026

Qu'est-ce que la sécurité de l'accès à distance ?

En mai 2021, l'attaque par ransomware contre Colonial Pipeline a été attribuée à un seul compte VPN compromis qui ne disposait pas d'une authentification multifacteur. Cette seule faille a entraîné l'arrêt des opérations du pipeline pendant plusieurs jours et a conduit à un paiement de rançon de 4,4 millions de dollars. Le département de la Justice des États-Unis a ensuite saisi environ 63,7 Bitcoin, d'une valeur d'environ 2,3 millions de dollars à l'époque, liés à cette rançon.

La sécurité de l'accès à distance est le cadre de protection en couches que vous construisez autour de chaque connexion entre des utilisateurs externes, des appareils et vos ressources internes d'entreprise. Elle englobe les politiques, technologies et contrôles qui régissent la manière dont les employés, sous-traitants et tiers se connectent aux systèmes de l'entreprise depuis l'extérieur de votre périmètre réseau. Cela inclut chaque tunnel VPN, session SSH, connexion RDP et authentification à une application cloud utilisés quotidiennement par votre personnel distribué.

Selon le DBIR Verizon 2025, des identifiants volés ont été impliqués dans 22 % de toutes les violations confirmées. Le SANS Institute a constaté que, parmi les organisations ayant subi des incidents de sécurité, 50 % de ces incidents provenaient de la connectivité externe ou des voies d'accès à distance. Ensemble, ces chiffres confirment que les voies d'accès à distance restent l'un des points d'entrée les plus ciblés pour les violations d'entreprise.

NIST SP 800-46 définit la sécurité de l'accès à distance comme englobant les environnements de « télétravail d'entreprise, accès à distance et BYOD (apportez votre propre appareil) ». Le NIST exige que tous les composants de ces technologies, y compris les appareils clients BYOD, soient sécurisés contre les menaces attendues identifiées via des modèles de menace.

Pour rendre cette exigence opérationnelle, il est nécessaire de comprendre où l'accès à distance s'inscrit dans votre modèle de cybersécurité global.

Pourquoi la sécurité de l'accès à distance est-elle importante ?

La sécurité de l'accès à distance se situe à l'intersection de la gestion des identités, de la sécurité réseau et de la protection des endpoints. Le cadre de cybersécurité du NIST la positionne dans la fonction « Protéger (PR) » sous « Gestion des identités, authentification et contrôle d'accès (PR.AA) » en tant que domaine de contrôle fondamental. Chaque point de terminaison VPN, serveur de rebond et passerelle de bureau à distance représente un point d'entrée activement ciblé par les attaquants.

Pour un rappel des termes fondamentaux référencés dans ce guide, consultez la bibliothèque Cybersecurity 101 de SentinelOne. Avec cette base, comprendre les schémas d'attaque spécifiques visant les voies d'accès à distance vous aide à prioriser les zones à renforcer en premier.

Risques courants liés à la sécurité de l'accès à distance

Les attaquants considèrent l'infrastructure d'accès à distance comme un point d'entrée principal, et non secondaire. Comprendre les schémas de menace spécifiques vous aide à prioriser le renforcement là où cela compte le plus.

  • Exploitation des VPN et des appliances périmétriques : Les passerelles VPN et les pare-feux se trouvent à la périphérie du réseau, ce qui en fait des cibles de grande valeur pour les groupes étatiques et les opérateurs de ransomware. L'avis de la CISA sur les principales vulnérabilités exploitées en 2023 montre que la majorité des CVE les plus fréquemment exploitées cette année-là l'ont été initialement en tant que zero-days, avec des produits Citrix, Fortinet et Ivanti en tête. En 2024, la tendance s'est poursuivie : la CISA a publié un avis conjoint après que des acteurs malveillants ont enchaîné plusieurs vulnérabilités Ivanti Connect Secure pour contourner l'authentification, implanter des web shells et collecter des identifiants. Les attaquants ont ensuite effectué des mouvements latéraux en utilisant des outils natifs aux appliances elles-mêmes, notamment RDP, SSH et nmap.
  • Vol d'identifiants et attaques par force brute : Les identifiants volés restent le moyen le plus courant pour les attaquants d'obtenir un accès à distance. Comme indiqué en introduction, près d'un quart de toutes les violations confirmées impliquent des identifiants volés, et les attaques par force brute et bourrage d'identifiants contre les portails RDP, VPN et SSH sont constantes. Plus de 85 % des organisations ont RDP accessible via Internet pendant au moins 25 % d'un mois donné, offrant ainsi aux attaquants une cible persistante pour les campagnes de pulvérisation de mots de passe.
  • Détournement de session et abus post-authentification : L'authentification seule n'élimine pas le risque. Les attaquants qui obtiennent des jetons ou cookies de session valides peuvent contourner complètement la MFA. La CVE-2023-4966 (« CitrixBleed ») de Citrix NetScaler a permis la fuite de jetons de session, donnant aux attaquants un accès authentifié sans jamais fournir d'identifiants. Une fois à l'intérieur, le mouvement latéral via RDP, SMB et des outils d'administration est la méthode standard. Les données d'intervention de Sophos montrent que les attaquants ont détourné RDP pour des mouvements latéraux dans 69 % des incidents analysés, en faisant le protocole le plus abusé à cette étape.
  • Abus de l'accès des tiers et fournisseurs : Les sous-traitants, prestataires de services managés et fournisseurs de la chaîne d'approvisionnement disposant d'identifiants d'accès à distance représentent une catégorie de menace distincte. Les connexions tierces représentaient 35,5 % de toutes les violations signalées en 2024, soit une hausse de 6,5 % par rapport à l'année précédente. Le risque est aggravé car les comptes fournisseurs disposent souvent de larges autorisations, manquent de surveillance de session et restent actifs longtemps après la fin d'un projet. La violation de Caesars Entertainment en 2023 illustre ce schéma : les attaquants ont utilisé l'ingénierie sociale contre un prestataire de support informatique externalisé pour obtenir un accès initial, entraînant environ 15 millions de dollars de coûts.
  • Attaques sur la chaîne d'approvisionnement des outils d'accès à distance : Les attaquants ciblent également les outils eux-mêmes. L'exploitation en 2024 des vulnérabilités ScreenConnect (CVE-2024-1708 et CVE-2024-1709) a montré à quelle vitesse les plateformes de gestion à distance deviennent des vecteurs d'attaque. Des groupes de ransomware tels que Black Basta et Bl00dy ont commencé à exploiter ces failles en quelques jours, utilisant les capacités intégrées des outils pour propager des malwares sur les endpoints connectés. Lorsque votre plateforme d'accès à distance est compromise, chaque appareil qu'elle gère devient accessible.

Chacun de ces schémas de menace correspond à un ensemble spécifique d'étapes de renforcement. Les bonnes pratiques ci-dessous y répondent protocole par protocole.

Bonnes pratiques pour la sécurité de l'accès à distance

La plupart des programmes d'accès à distance échouent dans l'opérationnel, pas dans la technologie. Les journaux VPN capturent souvent les événements de connexion et de déconnexion sans contexte au niveau des ressources, créant des angles morts. Considérer VPN plus MFA comme une fin en soi est l'une des erreurs les plus courantes : sans segmentation, conformité des appareils et surveillance des sessions, le mouvement latéral après la connexion reste largement ouvert. Les pratiques ci-dessous sont des bonnes pratiques d'accès à distance axées sur les protocoles que vous pouvez appliquer sans réécrire toute votre architecture en une seule itération.

Renforcement des VPN

Suivez les recommandations de la NSA/CISA sur le renforcement des VPN :

  • Imposer IKEv2/IPsec avec chiffrement AES-GCM-256 selon les exigences de la suite CNSA
  • Éliminer les suites de chiffrement obsolètes et les groupes Diffie-Hellman dépréciés
  • Imposer la MFA via une couche AAA centralisée pour chaque tentative d'accès à distance
  • Surveiller les événements de connexion et les changements de compte avec des alertes claires

La rapidité de correction est ici plus critique que partout ailleurs dans votre pile. Selon un avis de la CISA, l'exploitation des vulnérabilités d'accès à distance peut survenir dans les 9 à 13 jours suivant leur divulgation, ce qui signifie que des cycles de correctifs mensuels laissent une large fenêtre pour les passerelles VPN exposées à Internet. Traitez les appliances périmétriques comme des candidats à la correction d'urgence avec des objectifs de correction en quelques jours.

Pour un contexte plus large sur les raisons pour lesquelles la sécurité VPN reste une préoccupation prioritaire, l'explication de SentinelOne sur la sécurité VPN fournit une cartographie menace-contrôle. Une fois votre passerelle VPN renforcée, concentrez-vous sur le protocole le plus couramment utilisé pour l'accès aux serveurs et à l'infrastructure.

Renforcement de SSH

Appliquez des contrôles de sécurité SSH qui réduisent la prolifération des clés et le risque de relecture d'identifiants :

  • Imposer uniquement la version 2 du protocole SSH et des chiffrements modernes (AES-256-GCM, ChaCha20-Poly1305)
  • Exiger l'authentification par clé et désactiver complètement la connexion par mot de passe
  • Centraliser la gestion du cycle de vie des clés : émission, rotation et révocation via une autorité de certification ou un gestionnaire de secrets
  • Consigner les métadonnées de session et enquêter sur les schémas de commandes anormaux
  • Définir un nombre maximal de tentatives d'authentification et des délais de connexion pour ralentir les tentatives de force brute

La centralisation de la gestion des clés SSH est l'étape la plus impactante pour la plupart des équipes, car les clés orphelines sur des serveurs de longue durée constituent un angle mort fréquemment signalé par les auditeurs.

Renforcement de RDP

Les recommandations de la CISA sur l' éviction RDP sont explicites quant au blocage du port 3389 au périmètre. À partir de là, superposez des contrôles supplémentaires :

  • Exiger un accès VPN ou intermédiaire avant que RDP n'atteigne les systèmes internes
  • Imposer la NLA et une configuration TLS robuste pour la passerelle
  • Appliquer la MFA pour l'étape d'accès à la passerelle ou à l'intermédiaire
  • Définir des délais d'inactivité de session et restreindre le transfert du presse-papiers ou des lecteurs lorsque la sensibilité des données l'exige

Autoriser des appareils non gérés à se connecter sans vérification de posture revient à accepter le risque de vol d'identifiants depuis des machines que vous ne pouvez ni inspecter, ni corriger, ni contrôler. Si votre environnement prend en charge le BYOD, faites passer ces sessions par une voie intermédiaire qui vérifie l'état de l'appareil avant d'accorder l'accès. Même avec des contrôles solides par protocole, l'accès réseau après connexion crée toujours un risque de mouvement latéral, que l'architecture zero trust permet de combler.

Mise en œuvre du Zero Trust

Pour réduire le mouvement latéral après connexion, mettez en œuvre les changements zero trust par phases en utilisant le modèle de maturité Zero Trust de la CISA :

  • Remplacez l'accès VPN au niveau réseau par un accès au niveau applicatif, en commençant par les actifs à forte valeur
  • Utilisez des décisions par session basées sur l'identité, l'état de l'appareil et le comportement
  • Appliquez la micro-segmentation pour limiter le rayon d'action des sessions à distance
  • Considérez le zero trust comme une amélioration incrémentale qui s'intègre à votre pile existante

Le guide zero trust de SentinelOne explique comment traduire les principes d'accès à distance zero trust en politiques d'accès applicables. Une fois les chemins d'accès internes segmentés, l'exposition restante concerne souvent les parties externes qui se connectent à votre environnement avec moins de supervision que votre propre personnel.

Contrôles d'accès des tiers et fournisseurs

Les sous-traitants, MSP et fournisseurs de la chaîne d'approvisionnement nécessitent des contrôles différents de ceux des employés. Leurs comptes disposent souvent d'autorisations plus larges que nécessaire, manquent de surveillance de session et restent actifs longtemps après la fin des travaux. Renforcez cette catégorie avec des mesures ciblées :

  • Imposer un accès juste-à-temps qui expire automatiquement à la fin de la fenêtre de maintenance ou du projet
  • Limiter les sessions fournisseurs à l'application ou au système spécifique requis, et non à tout le segment réseau
  • Enregistrer et auditer les sessions fournisseurs, en particulier pour les opérations privilégiées
  • Examiner et désactiver les comptes fournisseurs inactifs selon une fréquence définie, et pas seulement lors des audits annuels

Les contrôles d'accès des fournisseurs sont souvent la dernière chose mise en place par les équipes et la première exploitée par les attaquants, donc traiter cette catégorie avec la même rigueur que vos protocoles internes est rapidement payant.

Imposer une MFA résistante au phishing

La MFA est un prérequis, mais les méthodes par SMS et notification push ne le sont pas. Les attaquants contournent les deux via des proxys de phishing en temps réel et des campagnes de fatigue push, où des demandes répétées d'approbation finissent par user les utilisateurs jusqu'à ce qu'ils acceptent. Les recommandations de la NSA et de la CISA sont explicites : utilisez des méthodes résistantes au phishing basées sur les standards PKI et FIDO2 pour l'accès à distance en entreprise, et non des alternatives de commodité.

  • Exiger des clés de sécurité matérielles (FIDO2) ou une authentification basée sur certificat pour les comptes privilégiés et les sessions d'administration à distance
  • Désactiver la MFA par SMS et voix pour les voies d'accès à distance lorsque des options résistantes au phishing sont disponibles
  • Imposer la MFA via une couche AAA centralisée plutôt que des paramètres d'application individuels pour combler les lacunes de configuration
  • Surveiller les schémas d'approbation MFA et alerter sur les comportements anormaux, y compris les approbations rapides depuis de nouveaux appareils enregistrés

La MFA résistante au phishing élimine la plupart des attaques d'accès à distance basées sur les identifiants au niveau de l'authentification. Une fois la MFA renforcée, la posture des appareils devient la prochaine faille exploitée par les attaquants.

Vérifier la posture de l'appareil avant d'accorder l'accès

Un utilisateur authentifié sur un appareil non géré et non corrigé n'est pas une connexion sécurisée. La vérification de la posture du endpoint contrôle l'état de sécurité de l'appareil avant l'ouverture de la session, bloquant l'accès depuis les machines qui ne respectent pas votre base de sécurité minimale.

  • Confirmer l'état des correctifs, la version de l'OS et la protection active du endpoint avant d'accorder l'accès
  • Bloquer ou rediriger les appareils non gérés vers un chemin de remédiation plutôt que d'accorder un accès complet au réseau
  • Exiger le chiffrement du disque sur tous les appareils autorisés pour l'accès à distance
  • Réévaluer la posture de l'appareil au début de la session et signaler toute dérive de configuration sur les connexions de longue durée

Les appareils non gérés sont un angle mort car vous ne pouvez pas les inspecter, les corriger ou les contrôler selon le même standard que les actifs de l'entreprise. Avec la posture de l'appareil vérifiée à l'entrée, la visibilité continue sur ce qui se passe pendant une session est la dernière faille à combler.

Surveiller les sessions en continu

Une authentification unique à la connexion ne protège pas contre ce qui se passe ensuite. Les attaquants qui volent des identifiants valides ou détournent une session se comportent différemment des utilisateurs légitimes. La surveillance continue des sessions permet d'identifier ces écarts avant que le mouvement latéral n'atteigne des actifs critiques.

  • Établir une base de référence des schémas normaux : localisation source, horaires d'accès typiques, ressources consultées et volume de commandes pour les sessions côté serveur
  • Signaler les déplacements impossibles, les accès administrateur hors horaires et les pics soudains d'accès aux ressources pour enquête immédiate
  • Combiner la télémétrie VPN, endpoint et identité afin de pouvoir corréler la session distante à chaque action en aval
  • Définir des réponses automatisées pour les anomalies à forte confiance, comme le blocage d'une session qui pivote vers des outils de collecte d'identifiants

Pour plus de contexte sur la construction d'une couverture de détection autour des sessions à distance, consultez le guide threat hunting de SentinelOne.

Appliquer la gestion des accès privilégiés pour les comptes d'administration à distance

Les sessions à distance liées à des comptes privilégiés sont les cibles les plus précieuses de votre environnement. Une session admin compromise avec un accès réseau non restreint peut passer de l'accès initial à un contrôleur de domaine en quelques minutes. La gestion des accès privilégiés (PAM) limite cette fenêtre en contrôlant comment, quand et depuis où les identifiants administratifs peuvent être utilisés.

  • Faire tourner automatiquement les identifiants privilégiés après chaque utilisation pour éviter leur réutilisation entre sessions
  • Enregistrer toutes les sessions à distance privilégiées et conserver les journaux pour les enquêtes forensiques
  • Exiger un poste de travail d'accès privilégié dédié (PAW) pour les sessions administratives, isolé des endpoints à usage général
  • Limiter l'accès admin à des systèmes et plages horaires spécifiques via un provisionnement juste-à-temps

Les comptes privilégiés sans ces contrôles sont le chemin le plus rapide de l'accès à distance initial à la compromission complète du domaine. L'application du PAM comble la faille qu'un seul identifiant admin volé pourrait ouvrir vers une prise de contrôle totale de l'environnement.

Comment SentinelOne renforce la sécurité de l'accès à distance

Sécuriser l'accès à distance dans un environnement de travail distribué nécessite une visibilité, une rapidité et une corrélation que des outils cloisonnés ne peuvent offrir. La plateforme Singularity™ unifie la télémétrie endpoint, identité et cloud dans une console unique, vous permettant d'enquêter sur une connexion VPN suspecte et l'activité endpoint qui s'ensuit sans avoir à basculer entre plusieurs systèmes.

Pour les équipes submergées par le bruit, l'efficacité quantifiée compte. Lors des évaluations MITRE ATT&CK, SentinelOne a généré 88 % de bruit en moins que la médiane de tous les fournisseurs, ce qui réduit directement la charge de triage et permet aux analystes de se concentrer sur les véritables intrusions par accès à distance. La télémétrie Storyline reconstitue automatiquement les chaînes de processus et de connexions, vous offrant une analyse de cause racine plus rapide lorsqu'un attaquant utilise une session distante pour pivoter.

Lorsqu'un identifiant compromis déclenche un mouvement latéral à 2 h du matin, vous avez besoin d'une réponse autonome, pas d'une corrélation manuelle sur cinq tableaux de bord. 

L'IA comportementale de SentinelOne signale les activités suspectes post-authentification, telles qu'une exécution de processus inhabituelle après une session RDP ou une collecte d'identifiants suite à un accès VPN. Singularity™ Identity étend cette protection à votre infrastructure d'identité, détectant les attaques en cours contre Active Directory et Entra ID avec des défenses en temps réel. Singularity™ Identity analyse également en continu la présence d'identifiants faibles, exposés ou compromis, et propose des réponses automatisées pour remédier à ces identifiants. Cela s'applique aussi bien aux environnements sur site (Active Directory) que cloud (tels que Entra ID, Okta, Ping, SecureAuth et Duo).

Pour accélérer les investigations, Purple AI transforme le langage naturel en recherches ciblées dans votre environnement. Les premiers utilisateurs rapportent que Purple AI rend la chasse aux menaces et les investigations jusqu'à 80 % plus rapides. Cette rapidité est essentielle lorsque vous devez répondre à des questions telles que : « Montrez-moi toutes les sessions RDP depuis des appareils non gérés au cours des 48 dernières heures. »

Demandez une démonstration de SentinelOne pour voir comment la plateforme Singularity renforce la visibilité et la réponse sur l'accès à distance dans votre environnement.

Réduire les risques liés à l'identité dans l'ensemble de votre organisation

Détecter et répondre aux attaques en temps réel grâce à des solutions globales pour Active Directory et Entra ID.

Obtenir une démonstration

Points clés à retenir

L'accès à distance est le point de convergence entre l'identité, la posture des endpoints et les contrôles réseau, et les attaquants ciblent chaque faille avec des zero-days sur les appliances VPN, du bourrage d'identifiants sur RDP exposé, du détournement de session après authentification et des attaques sur la chaîne d'approvisionnement des outils de gestion à distance. Vous réduisez ce risque en appliquant les bonnes pratiques d'accès à distance : renforcement des contrôles VPN, SSH et RDP ; imposition d'une MFA résistante au phishing ; vérification de la posture des appareils ; et application du principe du moindre privilège avec un accès segmenté. 

Si votre programme repose encore sur « VPN plus MFA », partez du principe qu'un attaquant peut pivoter après la connexion, et pour une cartographie pratique de la façon dont le vol d'identifiants se transforme en impact à l'échelle du domaine, le guide ransomware de SentinelOne couvre les tactiques adjacentes que vous observerez lors d'intrusions par accès à distance.

FAQ

Non. VPN authentifie les utilisateurs lors de la connexion et chiffre le trafic en transit, mais il n'applique pas le principe du moindre privilège après la connexion. Une fois connectés, les utilisateurs héritent souvent d'un accès réseau étendu, ce qui facilite les mouvements latéraux en cas de vol d'identifiants ou de détournement de session. 

Pour combler cette lacune, il est nécessaire de mettre en place une segmentation afin de limiter ce qu'une session peut atteindre, des vérifications de l'état du terminal pour contrôler l'origine de la connexion, ainsi qu'une surveillance continue pour détecter les abus post-authentification avant qu'ils n'atteignent des ressources critiques.

Les risques les plus fréquents sont le vol d'identifiants et l'abus de session. Des identifiants volés permettent aux attaquants d'accéder au VPN ou au RDP de manière authentifiée sans déclencher les contrôles périmétriques. Le détournement de session, comme démontré par CitrixBleed (CVE-2023-4966), permet aux attaquants de contourner totalement la MFA en utilisant des jetons de session valides. 

L'abus d'accès par des tiers, les équipements d'accès à distance non corrigés et les attaques sur la chaîne d'approvisionnement visant les outils de gestion à distance complètent le tableau. Chaque mode d'attaque dispose d'un contrôle de renforcement direct, mais le risque s'accroît rapidement lorsque plusieurs failles coexistent simultanément.

L’authentification multifacteur (MFA) vérifie que la personne qui se connecte est bien celle qu’elle prétend être, et pas simplement quelqu’un qui connaît le mot de passe. Pour l’accès à distance, il s’agit du principal contrôle empêchant la réussite des attaques par bourrage d’identifiants et par force brute. 

Cependant, la qualité de la MFA compte autant que sa présence. Les méthodes basées sur les SMS et les notifications push sont vulnérables aux proxys de phishing en temps réel et aux attaques par fatigue de notifications. Les méthodes résistantes au phishing, basées sur FIDO2 ou des certificats PKI, éliminent ces faiblesses et constituent la norme recommandée par la NSA et la CISA pour l’accès à distance en entreprise.

Les appareils personnels non gérés, les ordinateurs portables appartenant à des sous-traitants et les terminaux BYOD présentent le plus de risques car il est impossible de vérifier leur niveau de correctifs, les logiciels installés ou leur configuration de base. Les attaquants ciblent ces appareils en sachant que les organisations leur accordent souvent le même accès réseau qu’aux actifs d’entreprise gérés. 

Faites transiter les appareils non gérés par un chemin d’accès intermédiaire qui vérifie leur posture avant d’ouvrir toute session, et limitez les ressources auxquelles ils peuvent accéder même après avoir réussi les contrôles de posture.

Commencez là où l’exposition et la probabilité d’exploitation se recoupent. Si RDP est accessible depuis Internet, bloquez immédiatement le port 3389 et imposez un accès via un chemin intermédiaire. Ensuite, auditez les appliances VPN pour détecter les CVE non corrigées, l’authentification faible et la cryptographie obsolète. 

Puis, traitez SSH à grande échelle en inventoriant les clés et en centralisant leur émission et rotation. Priorisez selon l’exposition Internet, le niveau de privilège et l’historique des incidents.

Considérez les systèmes d’accès à distance en périmètre comme des candidats à la correction d’urgence car les attaquants les exploitent rapidement. La CISA a documenté des exploitations survenant dans les 9 à 13 jours suivant la divulgation, ce qui signifie que les cycles mensuels laissent une large fenêtre. 

Pour les passerelles VPN exposées à Internet, les brokers RDP et les bastions SSH, visez une fenêtre de correction à un chiffre, incluant la validation et la planification du retour arrière. Si vous ne pouvez pas corriger rapidement, réduisez l’exposition avec des contrôles compensatoires.

Concentrez-vous sur le comportement et le contexte de session, pas seulement sur la réussite de la connexion. Établissez une base de référence des schémas normaux tels que la géolocalisation de la source, le type d’appareil, l’heure de la journée et les ressources généralement consultées. 

Puis signalez les anomalies comme les déplacements impossibles, les lancements inhabituels d’outils d’administration après une connexion à distance ou l’accès soudain à des partages de fichiers sensibles. Combinez la télémétrie VPN, endpoint et identité pour pouvoir corréler la session distante à l’activité post-connexion.

En savoir plus sur Sécurité de l'identité

Qu'est-ce que le RBAC (contrôle d'accès basé sur les rôles) ?Sécurité de l'identité

Qu'est-ce que le RBAC (contrôle d'accès basé sur les rôles) ?

Le contrôle d'accès basé sur les rôles (RBAC) renforce la sécurité en limitant l'accès. Découvrez comment mettre en œuvre efficacement le RBAC dans votre organisation.

En savoir plus
Qu'est-ce que la gestion de la sécurité des identités (ISPM) ?Sécurité de l'identité

Qu'est-ce que la gestion de la sécurité des identités (ISPM) ?

La gestion de la posture de sécurité des identités (ISPM) aide à lutter contre les cybermenaces liées à l'identité en gérant efficacement les identités numériques. Découvrez comment l'ISPM renforce la posture de sécurité.

En savoir plus
LDAP vs Active Directory : 18 différences essentiellesSécurité de l'identité

LDAP vs Active Directory : 18 différences essentielles

LDAP et Active Directory sont tous deux utilisés pour accéder aux répertoires et les gérer sur différents systèmes, mais leurs fonctionnalités diffèrent. LDAP est un protocole, tandis qu'Active Directory est un service d'annuaire.

En savoir plus
Qu'est-ce que l'architecture Zero Trust (ZTA) ?Sécurité de l'identité

Qu'est-ce que l'architecture Zero Trust (ZTA) ?

Découvrez en détail l'architecture Zero Trust dans ce guide complet, qui couvre ses principes, ses avantages, ses défis et ses meilleures pratiques. Comprenez comment elle améliore la cybersécurité dans tous les secteurs.

En savoir plus
Prêt à révolutionner vos opérations de sécurité ?

Prêt à révolutionner vos opérations de sécurité ?

Découvrez comment SentinelOne AI SIEM peut transformer votre SOC en une centrale autonome. Contactez-nous dès aujourd'hui pour une démonstration personnalisée et découvrez l'avenir de la sécurité en action.

Demander une démonstration
  • Commencer
  • Demander une démo
  • Visite guidée produit
  • Pourquoi SentinelOne
  • Tarification et Packages
  • FAQ
  • Contact
  • Contactez-nous
  • Support
  • SentinelOne Status
  • Langue
  • Plateforme
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Gestion Technique des Comptes
  • Services de Support
  • Secteurs
  • Energie
  • Gouvernement Fédéral
  • Services Financiers
  • Santé
  • Enseignement Supérieur
  • Enseignement Primaire et Secondaire
  • Industrie
  • Vente au Détail
  • Collectivités territoriales
  • Cybersecurity for SMB
  • Ressources
  • Blog
  • Labs
  • Visite guidée produit
  • Events
  • Cybersecurity 101
  • eBooks
  • Livres Blancs
  • Presse
  • News
  • Glossaire du Ransomware
  • Société
  • A propos de
  • Nos clients
  • Carrières
  • Partenaires
  • Réglementation & Conformité
  • Sécurité & Conformité
  • S Foundation
  • S Ventures

©2026 SentinelOne, tous droits réservés.

Avis de confidentialité Conditions d'utilisation

Français