Connexions à risque excessives, abus de l'authentification héritée et événements de réussite MFA suspects

Question

Je sollicite des conseils techniques concernant une situation de sécurité critique liée à des connexions à risque dans Microsoft Entra ID et Identity Protection.

Nous utilisons Microsoft Entra ID et constatons actuellement un volume très élevé d'alertes de haute gravité dans Identity Protection et le portail Microsoft Defender XDR. Ces alertes sont principalement déclenchées par des attaques par force brute et par pulvérisation de mots de passe ciblant nos comptes utilisateurs.

Plus précisément, nous observons des milliers de détections de haute gravité telles que « Propriétés de connexion inconnues » et « Adresse IP malveillante », provenant de plusieurs pays (notamment la Chine et la Russie). Ces tentatives proviennent d'adresses IP externes aléatoires et ciblent de nombreux utilisateurs au sein de notre organisation.

La plupart de ces tentatives de connexion échouent, mais le volume d'alertes demeure extrêmement élevé et difficile à gérer opérationnellement.

De plus, nous avons identifié que certaines de ces tentatives utilisent des protocoles d'authentification obsolètes (tels que SMTP authentifié), susceptibles de contourner certains contrôles de sécurité modernes comme l'authentification multifacteur (MFA) s'ils ne sont pas explicitement bloqués. Plus grave encore, nous avons observé des cas où les connexions semblent réussir avec les identifiants utilisateur corrects, l'authentification multifacteur par SMS étant marquée comme réussie. Cela soulève des inquiétudes.