Quest : la cyber résilience grâce à la sécurisation de l’Active Directory

Écoutez cet article en Audio Long Read

L’Active Directory, maillon faible de la sécurité des entreprises

L’AD est, en cas de cyber attaque, le cœur de l’environnement IT que l’attaquant va tenter de corrompre pour obtenir les plus hauts privilèges possibles et prendre la main sur cet environnement, explique Régis Alix, Senior Principal Solutions Architect chez Quest.

« L’attaquant va se livrer à des manipulations, jusqu’à arriver à faire des modifications pour obtenir des droits très importants. Il peut même aller jusqu’à utiliser l’Active Directory pour déployer une charge virale dans le cadre d’une attaque par crypto malware, par exemple. La dernière étape d’une cyber attaque consiste souvent à tenter de détruire l’Active Directory pour nuire à l’organisation mais aussi pour effacer ses traces et empêcher une investigation forensique ayant pour objectif de prévenir une future attaque utilisant les mêmes modes opératoires. »

Même si l’AD n’est pas détruit, il est forcément compromis lors d’une cyber attaque et sa remise en état rapide est un véritable défi. En effet, plutôt que de corriger une à une toutes les actions malveillantes réalisées, beaucoup d’organisations préfèrent engager une procédure de restauration intégrale. Le temps d’indisponibilité moyen à la suite d’une attaque est de 23 jours[1] !

Le pouvoir de l’identification

Quest est un éditeur de logiciel spécialiste des solutions de gestion des systèmes et de sécurité qui propose une solution permettant de protéger l’annuaire en intervenant sur chacune des étapes décrites par les frameworks de sécurisation.

« En plus de pouvoir cartographier les chemins d’attaque possibles, notre solution innovante va aussi identifier les indicateurs d’exposition, et déterminer les paramètres – basés sur différents éléments d’information – pour identifier les états créant une vulnérabilité. Ces éléments permettent de déterminer la potentialité d’une attaque pour être capable de comprendre quels seront les points de passage possibles pour les hackers » ajoute Régis Alix.

En effet, les défenseurs raisonnent souvent en termes de listes de vulnérabilités et ne savent pas comment les prioriser. Cartographier les chemins d’attaque permet de les bloquer bien plus efficacement en les priorisant.

Une approche optimale de la sécurité

« Dans la réalité du fonctionnement des organisations, on ne peut pas tout sécuriser à 100 %. Il faut toujours chercher le meilleur ratio entre sécurité et efficacité » rappelle Régis Alix.

Il est donc important de pouvoir surveiller les indicateurs de compromission correspondant à des chemins d’attaque sciemment laissés ouverts pour des raisons d’efficacité afin de détecter une éventuelle exploitation de ces derniers. Les modules de la solution de sécurisation AD de Quest fournissent notamment cette fonctionnalité.

Le concept de Zero Trust est également très important. La possibilité de ne donner que les droits nécessaires et suffisants aux différents acteurs en fonction de leurs besoins limite les risques en cas de compromission de leurs comptes. Ceci est particulièrement vrai pour l’administration d’objets aussi sensibles que les GPO de l’Active Directory.

« Nos solutions couvrent le cycle de vie complet et continu de cyber résilience de l’AD allant de l’identification à la remédiation en passant par la protection et la détection. En cas d’actions sensibles ou inhabituelles, par exemple, nous allons pouvoir détecter en temps réel les activités suspectes. Nous aidons à faire le tri entre les indicateurs de compromission réels et les erreurs humaines. Enfin, nous proposons un module de sauvegarde et restauration automatisée de l’Active Directory qui permet une remise en route totale ou partielle en toute sécurité bien plus rapidement que la procédure manuelle » conclut Régis Alix.

[1] Source Microsoft

[2] Source ZD Net avril 2021