Sophos lance une nouvelle solution de détection des menaces basées sur l’identité, intégrée à sa plateforme de cybersécurité. Baptisé ITDR, cet outil surveille les identifiants compromis, corrige les erreurs de configuration et automatise les réponses aux attaques d’usurpation, dans un contexte de forte croissance des compromissions d’identifiants.
Les attaques par compromission d’identité ont pris une ampleur inédite. Entre juin 2024 et juin 2025, Sophos a enregistré une hausse de 106 % du nombre d'identifiants mis en vente sur le Dark Web. C’est dans ce contexte que l’éditeur britannique dévoile sa nouvelle offre ITDR (Identity Threat Detection and Response), un module désormais intégré à la plateforme Sophos Central. L’outil permet de détecter les signaux faibles associés à l’usurpation d’identifiants, d’identifier les vulnérabilités dans les systèmes d’authentification et de coordonner les réponses via les services gérés Sophos MDR.
Le renforcement de la chaîne des identités devient critique dans les environnements hybrides, où la prolifération des comptes, des règles d’accès dynamiques et des authentifications multifactorielles crée un terrain propice aux attaques. Selon le rapport Sophos Active Adversary, les identifiants compromis sont à l’origine de 56 % des incidents traités par ses équipes MDR et IR. C’est également la première solution issue du rachat de Secureworks à être totalement intégrée à l’écosystème Sophos, avec la promesse de sécuriser les identités sur l’ensemble des couches numériques, du cloud aux terminaux.
Une large couverture des techniques d’attaque
Sophos ITDR s’aligne sur les techniques répertoriées par MITRE ATT&CK pour cibler les compromissions d’identifiants. Il détecte aussi bien les attaques par force brute que le kerberoasting, l’usurpation de sessions, les mouvements latéraux ou les connexions suspectes intercontinentales. Grâce à plus de 80 vérifications de posture, il identifie les failles dans les MFA, les comptes inactifs, les erreurs de configuration ou les privilèges excessifs.
L’outil intègre également une surveillance proactive du Dark Web, capable d’alerter en cas de fuite d’identifiants dans des bases de données dérobées à la suite de violations. Cette détection est enrichie par une analyse comportementale (UEBA), permettant d’identifier des usages anormaux ou suspects avant qu’ils ne se transforment en brèches avérées. L’approche est conçue pour raccourcir le délai entre l’exposition, la détection et la remédiation.
Des fonctions de remédiation automatisées
La solution ne se limite pas à l’identification des risques. Elle propose des guides de réponse intégrés pour automatiser des actions correctrices : verrouillage de comptes, réinitialisation de mots de passe, désactivation de sessions ou mise en quarantaine d’utilisateurs dans Entra ID. Ces fonctions s’intègrent aux flux opérationnels des services Sophos XDR et Sophos MDR.
Les entreprises utilisant les services managés peuvent ainsi déléguer la réaction aux analystes Sophos, qui reçoivent des alertes enrichies de contexte en cas de détection d’activité suspecte. L’objectif est double : réduire la fenêtre de compromission et limiter la latéralisation des attaques dans les environnements métiers.
Un positionnement renforcé face aux cybermenaces identitaires
Avec ITDR, Sophos renforce sa légitimité sur le terrain de la cybersécurité adaptative. L’intégration native dans Sophos Central traduit une stratégie de convergence fonctionnelle, visant à faire de la plateforme un cockpit central de défense piloté par l’identité. Le choix d’en faire le premier produit issu du portefeuille Secureworks signale aussi une volonté de valoriser rapidement cette acquisition.
Le catalogue de fonctions (surveillance Dark Web, analyse comportementale, tableau de bord unifié, automatisation) positionne clairement Sophos ITDR sur le segment des solutions de défense préventive. Un segment qui devrait croître fortement, sous l’effet des cyberassurances, de la pression réglementaire et de l’extension des surfaces d’attaque liées au télétravail et au cloud distribué.
Vers une sécurité centrée sur l’identité comme nouvelle norme
La diffusion rapide de l’ITDR dans les écosystèmes clients de Sophos (600 000 entreprises selon l’éditeur) pourrait accélérer l’adoption d’une approche « identity-first » de la sécurité. L’automatisation des réactions, la réduction des angles morts et l’intégration aux flux XDR/MDR renforcent la valeur opérationnelle de la solution pour les RSSI, responsables IAM ou équipes SOC.
Alors que la menace se déplace des systèmes aux utilisateurs et des réseaux aux identifiants, Sophos anticipe un changement de paradigme où la détection comportementale et la réponse automatisée autour de l’identité deviennent des exigences fondamentales. ITDR préfigure ainsi une nouvelle couche défensive, interopérable et continue, qui s’imposera à mesure que les modèles d’attaque continueront à exploiter l’humain comme principal point d’entrée.
