L’identité s’impose comme un nouveau champ de bataille, où éradiquer la persistance des attaquants devient impératif

Lorsque Rubrik et CrowdStrike sont intervenus ensemble lors du Cyber Resilience Summit (CRS) 2026, le sujet n’était ni la dernière menace tendance ni la technique d’attaque la plus spectaculaire. Le débat s’est concentré sur un enjeu plus fondamental : l’identité. Pourquoi, à l’ère des agents IA et des environnements entièrement cloud-native, Active Directory reste-t-il l’une des surfaces d’attaque les plus exposées ?

La session, intitulée « Flag It, Fix It: Closing the Loop on Identity Attacks with Rubrik & CrowdStrike », a mis en lumière une réalité bien connue des équipes de sécurité, mais rarement formulée explicitement. À savoir, que détecter une menace et s’en relever (y compris en expulsant l’attaquant) constituent deux problématiques distinctes. Or, pendant trop longtemps, les entreprises n’en ont adressé qu’une seule.

Pourquoi l’identité est la surface d’attaque la plus exploitée

Un chiffre mérite de retenir l’attention : 90 % des responsables IT et sécurité considèrent les attaques basées sur les identités comme une menace majeure. Plus marquant encore, près de 52 % des attaques reposent sur un accès initial obtenu via des identifiants, des accès qui s’échangent sur le Dark Web pour quelques dollars seulement.

Paradoxalement, cette exposition ne découle pas, dans la majorité des cas, de failles sophistiquées de type zero-day. Ses causes sont multiples : erreurs de configuration ; comptes surprovisionnés qui n’ont jamais fait l’objet d’un audit depuis la promotion d’un collaborateur plusieurs années auparavant ; absence d’authentification multifacteur (MFA) sur des comptes pourtant critiques, ou bien le phénomène de désensibilisation à la MFA ou « MFA fatigue ». Cette technique d’attaque à efficacité tout aussi redoutable que surprenante consiste à inonder un utilisateur de notifications jusqu’à ce qu’il en valide une.

En parallèle, alors que les entreprises peinent déjà à corriger ces lacunes fondamentales, l’essor des agents autonomes vient amplifier le problème. Chaque agent IA déployé pour accélérer les processus devient une identité à part entière, avec ses propres droits d’accès, son propre périmètre d’exposition et donc son propre potentiel de compromission. En plus de s’étendre, le périmètre de sécurité fluctue désormais.

Des techniques d’attaque banales, mais redoutablement efficaces

Cette session du Cyber Resilience Summit (CRS) ne s’est pas tant distinguée par le constat qu’elle a dressé – les professionnels de la sécurité connaissant le rôle central de l’identité depuis longtemps – que par la démonstration concrète d’une réponse en boucle fermée.

CrowdStrike fournit le signal initial. Lorsque sa plateforme Falcon détecte une réplication suspecte de domaines, un comportement incohérent ou une activité anormale liée à un compte de service – par exemple un compte svc_sql soudainement intégré au groupe Enterprise Admins – cette alerte n’est pas simplement mise en file d’attente. Elle est partagée avec Rubrik, accompagnée de la chronologie complète de l’attaque.

C’est là que Rubrik change la donne. Traditionnellement, lorsqu’une compromission d’identité est confirmée, les équipes de sécurité doivent passer au crible leur outil de gestion des événements et des informations de sécurité (SIEM) pour identifier manuellement chaque action menée par l’attaquant, les corréler à la chronologie de l’attaque, puis les annuler une à une. Un processus long, source d’erreurs, qui transforme rapidement un incident de deux heures en une crise de deux jours.

Rubrik réduit drastiquement cet effort manuel. En s’appuyant directement sur la chronologie issue de l’alerte CrowdStrike, la plateforme corrèle l’ensemble des actions effectuées par l’identité compromise. Fini les recherches manuelles ou la reconstitution du puzzle à partir de journaux fragmentés. Vous bénéficiez d’une vue claire de l’incident : vous n’avez plus qu’à sélectionner les modifications à annuler puis à cliquer sur « annuler » (Revert). Rurik s’occupe du reste.

Pourquoi la restauration d’une sauvegarde ne suffit pas à éradiquer l’attaquant

Il convient de préciser ce que recouvre réellement la notion de reprise complète. Face à la compromission d’un système d’identité, le réflexe consiste souvent à se concentrer sur la sauvegarde et la restauration. Or, cette approche sous-estime l’ampleur du problème et passe à côté du plus grand risque : la persistance de l’attaquant.

Les acteurs cyber ne se contentent pas de s’introduire dans un système, ils s’y installent. Ils créent des comptes dérobés, modifient les appartenances à des groupes, ajustent les permissions et s’implantent profondément pour survivre à une restauration basique. Le problème, c’est qu’une restauration traditionnelle permet de revenir à un état antérieur à un moment donné. Et si ces mécanismes de persistance sont déjà en place au moment du snapshot, ils sont restaurés eux aussi.

Le tandem Rubrik et CrowdStrike permet d’éliminer complètement la persistance des attaquants, au lieu de se limiter à un simple rollback à un point antérieur. En reliant précisément les actions à leur chronologie d’attaque, l’intégration vous permet de supprimer de manière ciblée chaque modification malveillante, sans toucher aux changements légitimes intervenus en parallèle. Votre entreprise continue de fonctionner, débarrassée de toute présence malveillante.

Comment Rubrik et CrowdStrike automatisent la corrélation et l’annulation des actions malveillantes

Un moment clé de la session a mis en lumière le manque de coordination entre les équipes de détection et de restauration. Outils, processus, langage : tout diffère. Lorsqu’une identité compromise est détectée par le SOC (Security Operations Center), l’information doit ensuite circuler vers l’équipe IAM puis vers les équipes IT — souvent dans l’urgence et sans contexte complet.

L’intégration entre Rubrik et CrowdStrike résout cette coordination défaillante. En combinant la télémétrie de CrowdStrike et la chronologie corrélée des actions de Rubrik au sein d’un même workflow, l’ensemble des équipes a accès aux mêmes informations. Un élément déterminant en situation de crise, où un contexte commun et une version fiable de la réalité peuvent faire la différence entre une reprise en quelques heures et une gestion de crise qui s’étend sur plusieurs jours.

Comme l’a résumé Chris Kachigian de CrowdStrike lors du CRS : « La sécurité est un sport collectif. Nous ne pouvons pas vaincre les attaquants sans collaboration. Ces derniers ont déjà démontré leur capacité à coopérer, parfois plus efficacement que les entreprises elles-mêmes. »

Prochaine étape : approfondir le sujet lors de FORWARD

Si le Cyber Resilience Summit a ouvert le débat, FORWARD sera le moment de passer à l’action.

Cette conférence en présentiel organisée par Rubrik sera l’occasion d’approfondir les problématiques évoquées au CRS : résilience des identités, intégration Rubrik-CrowdStrike et mise en œuvre opérationnelle d’une reprise à la vitesse des attaques. En plus de témoignages concrets d’autres utilisateurs, vous pourrez tester par vous-mêmes les fonctionnalités permettant de concrétiser cette approche.

Le CRS posait la question « comment faire ? », FORWARD y répondra.

Vous n’avez pas pu assister à la session CRS ? Le replay de « Flag It, Fix It: Closing the Loop on Identity Attacks with Rubrik & CrowdStrike » est désormais disponible.

Certains services ou fonctionnalités mentionnés dans ce document n’ont pas encore été publiés et ne sont donc pas disponibles actuellement. Leur disponibilité générale peut être retardée ou annulée, à notre entière discrétion. Lesdits services ou fonctionnalités n’impliquent aucune promesse ou obligation ni aucun engagement de la part de Rubrik, Inc. et ne peuvent être reflétés dans aucun contrat. Les clients sont invités à prendre leurs décisions d’achat en fonction des services et fonctionnalités dont la disponibilité est actuellement généralisée.