Certaines entreprises choisissent aujourd’hui Microsoft 365 et Microsoft Azure pour rationaliser leur portefeuille de fournisseurs, ce qui les amène à devoir souvent faire des compromis sur certaines fonctionnalités qui peuvent s’avérer critiques.
Ces dix dernières années, Microsoft a élargi son portefeuille de produits. Outre son statut de fournisseur de systèmes d’exploitation, l’entreprise propose désormais diverses solutions couvrant la productivité, la collaboration et le cloud.
Certaines entreprises choisissent aujourd’hui Microsoft 365 et Microsoft Azure pour rationaliser leur portefeuille de fournisseurs, ce qui les amène à devoir souvent faire des compromis sur certaines fonctionnalités qui peuvent s’avérer critiques. Cette approche engendre des risques importants, les entreprises étant tributaires d’un seul fournisseur.
Aujourd’hui, tous les services Microsoft dépendent d’Azure Active Directory pour la gestion des identités et des accès (IAM). L’élément le plus faible dans un environnement Microsoft est donc devenu l’identité de l’utilisateur. Si un acteur malveillant réussit à compromettre cette identité via des privilèges élevés tels ceux d’un administrateur de sécurité, il échappera à toutes les mesures et outils de sécurité de Microsoft.
Dès lors comment identifier et se protéger contre les vulnérabilités courantes du cloud, les menaces internes et les mauvaises configurations du cloud ?
Vulnérabilités du cloud
Les services cloud offrent aux entreprises des avantages considérables en termes d’échelle et de coût. Il n’est donc pas surprenant que 89 % d’entre elles utilisent des services multiclouds pour leurs opérations. Cependant, face à leur adoption croissante, les cyberattaquants modifient leurs attaques pour cibler désormais directement ce type de services.
Les entreprises qui tentent de protéger la surface d’attaque déjà importante du système d’exploitation Windows, doivent désormais également faire face à l’augmentation exponentielle des vulnérabilités dans les services cloud et de sécurité.
En raison d’une visibilité souvent limitée dans les environnements cloud, de nombreuses entreprises peinent à sécuriser efficacement leurs données et dispositifs ou assument de protéger leurs instances cloud avec un fournisseur de services cloud (CSP). Selon le rapport IBM Data Breach, de mauvaises configurations du cloud ont exposé plus de 33 milliards de données rien qu’en 2018 et 2019.
Menace venant directement de personnes
Le rapport 2022 sur les menaces humaines de Cybersecurity Insiders souligne que ce type d’incident est devenu plus fréquent au cours des 12 derniers mois. Il existe deux types de menaces internes : les personnes négligentes, qui ont accès à l’environnement de l’entreprise et commettent une erreur involontaire entraînant une cyberattaque, et les personnes malveillantes, qui ont accès à l’environnement de l’entreprise et acceptent d’aider les cybercriminels par appât du gain.
Mauvaise configuration du cloud
Alors que les entreprises accélèrent leur adoption de services cloud pour faciliter leur transformation numérique, la sécurité est souvent devenue une réflexion à posteriori. L’hypothèse selon laquelle la sécurisation du cloud est de la seule responsabilité des fournisseurs de services cloud (CSP) est très risquée.
L’étude 2022 Cloud Security Report de Check Point confirme que 27% des entreprises ont connu un incident de sécurité dans leur infrastructure de cloud public. 23% de ces incidents ont été causés par de mauvaises configurations du cloud.
Les contre-mesures fournies par Microsoft
Le point commun de toutes ces attaques est la faiblesse des politiques de sécurité en matière d’identité. Microsoft affirme d’ailleurs que 99,9 % des compromissions de comptes pourraient être évitées grâce à l’authentification multifactorielle (MFA). Le problème est que seulement 22 % des entreprises clientes utilisent cette méthode, dont la mise œuvre est souvent insuffisante, et qu’elle peut malgré tout être contournée.
De nombreuses entreprises étant passées d’une identité de leurs utilisateurs on-premise vers une identité hybride ou cloud avec Azure Active Directory (Azure AD), de nouveaux risques de sécurité ont émergé. Pour mieux les appréhender, il est important de bien comprendre les mécanismes d’Azure AD puis leur relation avec les services Microsoft.
Afin de faciliter la gestion des contrôles d’accès, Microsoft propose plusieurs rôles intégrés, en général attribués au personnel de sécurité d’une entreprise : L’ »Administrateur global » est le compte à privilèges le plus élevé, il fournit un accès complet à tous les services Microsoft. En général, ce rôle est hautement protégé.
L’ »Administrateur de sécurité » possède un accès complet à tous les services de sécurité Microsoft, y compris Microsoft 365 Defender, Microsoft Defender for Endpoint et Microsoft Sentinel. Enfin le « Lecteur de sécurité » permet une lecture seule des produits de sécurité Microsoft.
Conscient de l’influence de ces rôles et du risque lorsqu’ils sont compromis, Microsoft préconise l’utilisation de fonctionnalités Just-In-Time Access et de services plus étendus de gestion des identités privilégiées (PIM). Cependant, comme pour le MFA, seul un nombre limité d’entreprises utilise ces services en raison de leur mise en œuvre complexe.
Les autres sont susceptibles de voir un hacker compromettre l’identité d’un utilisateur, via par exemple des privilèges d’administrateur de sécurité, accéder à la majorité des services Microsoft et ainsi échapper aux fonctionnalités de sécurité intégrées.
Personnel, processus et technologie
Alors comment les entreprises peuvent réduire le risque de mauvaise configuration du cloud, de vulnérabilité des produits Microsoft et de menaces internes ? Il est tout d’abord essentiel de comprendre les exigences liées aux personnes, aux processus et à la technologie.
Personnes
Selon une étude Mimecast, 90 % des failles de sécurité sont dues à une erreur humaine. Il est donc important de mettre en place un programme efficace de sensibilisation à la sécurité afin de réduire le risque de négligences pouvant entrainer une cyberattaque.
Personne n’est à l’abri d’une erreur ou d’une attaque d’ingénierie sociale ciblée. C’est pourquoi la culture interne de la cyberconscience est primordiale. Les collaborateurs doivent connaître leurs niveaux de privilèges, comprendre comment contribuer à protéger l’entreprise et signaler les activités suspectes.
Processus
Des processus cohérents sont essentiels et doivent être testés. Par exemple, la politique d’utilisation des équipements par les employés ne doit pas laisser de place à l’interprétation. Elle doit indiquer clairement ce qu’ils peuvent ou ne peuvent pas faire et décrire les contrôles de sécurité pertinents qui doivent être mis en place.
En outre, elle doit indiquer clairement comment signaler efficacement les éventuels incidents de sécurité. Lors de la mise en œuvre de ces processus, il ne faut pas se contenter de les définir, mais les tester afin que l’équipe de sécurité puisse identifier à l’avance les points faibles.
Technologie
Selon le rapport Verizon 2022 Data Breach Investigations Report, 61 % de toutes les attaques concernent l’identité des utilisateurs. Dans de nombreuses entreprises aujourd’hui, l’équipe informatique et de sécurité doit prendre en charge divers systèmes d’exploitation, services de cloud computing et types de terminaux. Ces environnements sont souvent une combinaison de systèmes anciens et modernes.
Il n’est donc pas surprenant que de nombreuses entreprises disposent aujourd’hui de 25 à 49 outils indépendants provenant de 10 fournisseurs ou plus pour détecter, trier et enquêter sur les menaces. Cependant, alors que les entreprises envisagent de les regrouper, elles recherchent des plateformes unifiées qui peuvent les y aider. Les entreprises doivent donc envisager l’intégration de capacités de sécurité capables de détecter, de protéger et de répondre aux menaces grâce notamment à la complémentarité des technologies XDR et ITDR.
À mesure que les entreprises utilisent les services cloud, il est essentiel de comprendre les nouvelles typologies de menaces et être conscient que la sécurisation des services cloud ne relève pas que du CSP. Les équipes de sécurité doivent se concentrer sur la sécurisation du cloud, avoir une vue d’ensemble sur l’environnement de l’entreprise, comprendre les risques quelle que soit la surface – identité, courrier électronique, points d’accès, réseau – et identifier les moyens de protéger, de détecter et de répondre aux cybermenaces sur l’ensemble du patrimoine numérique.
