Repenser la sécurité d’Active Directory à l’ère du Cloud

CloudCybersécurité
Active Directory ANSSI

Les récentes failles qui ont touché des dizaines de milliers d’entreprises à l’échelle mondiale illustre le manque de ressources consacrées aux environnements de sécurité AD. Et avec 425 millions d’utilisateurs actifs d’Azure AD (AAD) fin 2020, il est plus important que jamais d’assurer la sécurité d’AD.

L’adoption croissante d’Active Directory (AD) a fait de ce service une cible de choix pour les cybercriminels. Comme plus de 90 % des entreprises du classement Fortune 100 utilisent le service d’annuaire de Microsoft, Active Directory, à des fins d’authentification et de gestion des accès, les cybercriminels ont tout intérêt à élaborer des attaques sophistiquées pour dérober les informations d’identification AD à privilèges.

Les récentes failles qui ont touché des dizaines de milliers d’entreprises à l’échelle mondiale illustre le manque de ressources consacrées aux environnements de sécurité AD. Et avec 425 millions d’utilisateurs actifs d’Azure AD (AAD) fin 2020, il est plus important que jamais d’assurer la sécurité d’AD.

AD dans le Cloud : une cible attractive pour les cybercriminels

Que ce soit sur site ou dans le Cloud, Active Directory représente un atout extrêmement précieux aux yeux d’un acteur malveillant cherchant à se déplacer latéralement à travers le réseau.
En pénétrant dans l’annuaire AD de leurs victimes, les attaquants disposent de clés et d’identités utilisables pour compromettre des systèmes de plus en plus critiques.

Il existe une différence essentielle entre un annuaire AD classique sur site et AAD (Azure AD) : le premier présente beaucoup plus de points d’infection potentiels. Dans les modèles hybrides, AAD hérite des inconvénients d’AD sur site en termes de sécurité. Non seulement les annuaires AD contiennent de précieuses informations d’identification, mais ils constituent aussi un point d’entrée relativement plus simple pour un attaquant motivé.

AD est une solution d’authentification unique (Single-Sign-On ou SSO) sur site qui a, à l’origine, été conçue avec certaines fonctions de sécurité pour offrir une expérience utilisateur transparente.
La sécurité n’a jamais fait partie de la conception d’AD et a dû être ajoutée par ceux qui l’ont implémenté. Des politiques drastiques peuvent théoriquement être mises en œuvre afin de limiter les écarts par rapport à une ligne de base et de sécuriser les environnements AD sur site, mais leur mise en œuvre est compliquée et leur gestion irréalisable.

Les entreprises qui prévoient de conserver leur environnement AD sur site doivent respecter au moins quatre principes si elles ne veulent pas ouvrir de brèches aux attaquants :

  • Supprimer les autorisations exploitables. Des groupes tels que les administrateurs de domaines seront ciblés par les cybercriminels, car ce sont eux qui détiennent les « clés du royaume ». Selon le principe du moindre privilège, les entreprises doivent gérer la délégation de l’administration d’AD et limiter le nombre d’utilisateurs disposant de droits d’accès étendus.
  • Déployer une solution de gestion des accès à privilèges (PAM) pour contrôler les informations d’identification des comptes utilisateur à privilèges et des comptes de service.
  • Établir un calendrier d’audit strict et régulier. Tous les changements doivent être consignés et pris en compte, et des alertes doivent être définies en cas d’élévation des privilèges.
  • Préparer un plan de reprise. En cas d’échec d’une défense, un plan d’intervention bien rodé est essentiel. Il représente des centaines de milliers d’euros d’économies potentielles pour les victimes.

Bien que légèrement plus facile à gérer du point de vue de la sécurité, AAD n’est pas intrinsèquement plus sûr. La gestion de la sécurité d’AAD n’est pas automatisée. Elle peut être longue et fastidieuse, en particulier dans le cas des petites entreprises qui ne disposent pas toujours des ressources nécessaires pour respecter le processus de configuration approprié.

Les nouveaux utilisateurs sont souvent configurés sur site pour être productifs dès le premier jour, puis se voient attribuer un compte AAD qui leur donne accès à Office 365. Il est important que ces étapes soient réalisées de manière adéquate et sécurisée, car la gestion d’AAD et d’O365 peut se révéler lourde et risquée.

Sécurité d’AD et d’AAD : une stratégie de sécurité globale

Les politiques et pratiques de sécurité d’AD et d’AAD varient considérablement d’une entreprise à l’autre. Une bonne stratégie dépend de la taille et des ressources. La première étape doit donc toujours consister en une évaluation initiale visant à déterminer la surface à protéger.

Ensuite, l’exécution d’un test d’intrusion mettra en évidence les vulnérabilités et problèmes de sécurité principaux susceptibles d’être exploités par un attaquant. Une fois identifiés, ils pourront être atténués de manière appropriée. Il convient également d’élaborer un plan de gestion continue des nouvelles vulnérabilités à mesure qu’elles sont détectées par les fournisseurs. L’application de correctifs peut entraîner des interruptions de service, un paramètre qui doit être pris en compte et planifié pour réduire les pertes opérationnelles.

Enfin, la sécurité d’AD et d’AAD doit être réévaluée et auditée, que ce soit par un autre test d’intrusion ou une analyse des vulnérabilités.

Ce qu’il faut surtout éliminer, ou du moins limiter, ce sont les risques d’erreurs. AD et AAD sont des environnements par nature complexes, et les violations tendent à se produire en raison de failles de sécurité et de mauvaises configurations, plutôt qu’à la suite d’une attaque particulièrement sophistiquée.

En limitant les autorisations aux seuls utilisateurs concernés et en veillant à ce qu’elles ne puissent pas être modifiées, que ce soit par accident ou par un cybercriminel, il est possible de sécuriser tous les systèmes qui dépendent d’AD et d’AAD.

Auteur
En savoir plus 
Architecte IAM Solutions
One Identity
Hicham Bouali est responsable avant-ventes EMEA One Identity
En savoir plus 

Livres blancs A la Une