Enjeux et trajectoires de transformationUn livre blanc Wavestone | Microsoft
Depuis plus de 20 ans qu’il existe, le service Active Directory est devenu un standard du marché, présent dans quasiment tous les systèmes d’information des organisations. Deux importantes tendances l’ont remis sur le devant de la scène ces dernières années.
La première découle de la forte exposition de ce composant à la menace cyber. S’agissant de la pierre angulaire du système d’information en matière de droits et de comptes à privilèges, l’Active Directory constitue une cible prioritaire pour les attaquants, qui cherchent à obtenir un accès large au système d’information en le compromettant. Ils peuvent ainsi l’utiliser pour déployer des logiciels malveillants ou encore pour accéder à des informations, avant de les faire fuiter. De vastes projets de remédiation ont ainsi été lancés ces dernières années, par de nombreuses organisations, pour y faire face.
La seconde découle de l’accroissement de l’usage de services collaboratifs, brusquement accéléré par l’explosion du recours au télétravail. Pour déverrouiller tous les nouveaux usages du modern workplace, la gestion des utilisateurs a étendu son champ d’action pour intégrer le périmètre dans le cloud, grâce à Azure AD. Dans la majorité des cas, il ne s’agit pas d’une bascule d’un tout on-premises vers un tout cloud, mais plutôt d’une extension de l’existant au travers d’architectures hybrides. Ce mouvement nécessite une prise en compte des enjeux de sécurité, pour ne pas exposer l’organisation.
Microsoft et Wavestone se sont associés pour analyser les tendances observées sur le terrain, lister les réflexions à mener et donner quelques clés et bonnes pratiques pour conduire les changements structurants à mener.
Une diversité d’architectures rencontrées dans les organisations, avec des maturités relativement faibles
Trois types d’architecture existent sur le terrain : 100% Active Directory, 100% Azure Active Directory ou hybride. La tendance de fond du passage vers le cloud amène de nouveaux enjeux de sécurité.
Arnaud Jumelet
National Security Officer
Microsoft France
Seules 25% des authentifications sont encore réalisées on-premises.
Que l’on parle de l’AD on-premises ou d’Azure AD, le niveau de sécurité est encore largement insuffisant.
« 32/100 Secure score moyen, 34,6 score le plus élevé pour le secteur technologie, 24 score à la création d’une souscription Office 365 E3 »
« Le SI est compromis en moins de 24h dans 80% des audits réalisés »Wavestone, audits AD 2020
Par ailleurs, le CERT Wavestone constate sur le terrain que les infrastructures Active Directory sont encore très souvent prises pour cible par les attaquants, engendrant des incidents de sécurité majeur :
En réponse à cela et dans le contexte actuel d’explosion des attaques exploitant des défauts de configuration de l’AD, il n’est plus rare de voir le COMEX interroger le DSI ou le RSSI sur le niveau de sécurité de l’AD et de valider des enveloppes de plusieurs centaines de milliers voire millions d’euros pour mener des projets de refonte et de sécurisation.
« 53% des grandes entreprises ont un projet de sécurisation de l’AD »Baromètre CESIN 2021
De nombreux plans de sécurisation déjà en cours dans les organisations, et qui suivent le voyage vers le cloud
Le nouveau modèle d’accès d’entreprise (Enterprise Access Model) a été pensé par Microsoft pour les organisations hybrides, qui ont des applications on-premises mais également multi-cloud suivant les principes de sécurité du Zero Trust. Dans ce nouveau modèle, le contrôle de la sécurité n’est plus opéré exclusivement à partir d’Active Directory, mais également depuis Azure Active Directory.
Sur le périmètre on-premises, la priorité absolue est de sécuriser le Tier 0, pour réduire au maximum les possibilités de compromission, en y intégrant les actifs les plus critiques et en imposant l’utilisation des bons comptes d’administration pour s’y connecter.
Pour cela, il convient d’intégrer les actifs dans le périmètre du Tier 0, sur la base de nos observations du terrain :
Evidemment, cela ne constitue qu’une partie de la remédiation, puisqu’il existe de nombreux autres sujets incontournables à traiter dans le plan de sécurisation.
Plus que n’importe quel autre composant du SI, la sécurité de l’AD ne peut se réduire à un programme limité dans le temps, mais doit se transformer en un processus régulier de contrôle du niveau de sécurité global. Celui-ci doit être exécuté régulièrement, et les écarts identifiés doivent se traduire par des actions correctrices à court terme et de prévention à moyen terme.
Ce plan de contrôle peut s’appuyer sur diverses sources : des scripts, des outils du marché complémentaire, le service ADS (Active Directory Security) de l’ANSSI, des vérifications manuelles (lorsqu’elles ne peuvent pas facilement être automatisées). Aussi, l’on pourra aussi s’appuyer sur des audits et des exercices de red team annuels, pour vérifier que le Tier 0 ne peut plus être compromis.
Enfin, en plus de vérifier que les sauvegardes de l’infrastructure Active Directory réussissent systématiquement, il convient, comme dans toute approche de continuité, de tester la restauration complète depuis une sauvegarde. Ces tests réguliers permettront aussi de mesurer le délai nécessaire à la restauration complète. Celui-ci pourra être communiqué aux responsables de la continuité et constituera également un indicateur que l’on cherchera à optimiser, test après test.
Sur le périmètre Cloud, on pourra commencer par Identity Security Score pour se piloter, afin d’identifier de premiers quick wins à mettre en œuvre. Au-delà de cet indicateur, des actions complémentaires doivent être menées sur tous les pans. Pour aller plus loin que cet indicateur, d’autres actions doivent impérativement être réalisées sur :
• Les administrateurs, utilisateurs internes et utilisateurs invités, en identifiant leurs droits et leur méthodes d’authentification (e.g. authentification multi facteurs).
• Les applications et accès conditionnels, en gérant les propriétaires et les secrets, ainsi qu’en mettant en œuvre des politiques d’accès.
• Les appareils, en imposant la conformité de ceux-ci par rapport à un standard défini et accepté.
Pour cela, Microsoft met à disposition des mécanismes de sécurité en fonction du niveau de licence. Les Security Defaults sont par exemple disponibles dans la licence gratuite.
Ce livre blanc contient de nombreux focus, qui traitent d’un sujet donné dans le détail. En voici l’exemple pour les Security Defaults.
Pour finir, en fonction de la stratégie de transformation de l’organisation, la question du voyage vers le cloud et donc vers Azure AD devra être adressée, en intégrant les enjeux de sécurité et en levant les derniers freins :
- La migration des applications reposant sur NTLM vers des protocoles modernes tels que Kerberos ou OpenID Connect ;
- L’application des mesures de sécurité via un MDM à la place des GPO ;
- Le remplacement de l’AD join par l’Azure AD join.
Se préparer à une cyberattaque
Au-delà de sécurisation son environnement AD/Azure AD, il est nécessaire d’anticiper une éventuelle reconstruction d’un Active Directory pour mieux anticiper la crise. Deux méthodes de reconstruction AD peuvent être mises en œuvre à la suite d’une compromission :
- Une reconstruction à partir de zéro des contrôleurs de domaine et de l’annuaire ;
- Une reconstruction des contrôleurs de domaine mais avec réplication de l’annuaire existant.
La reconstruction d’un SI à la suite d’une cyberattaque est un sprint nécessitant la mobilisation de tous. Le risque est cependant de penser que la course s’arrête là. Dans ce cas, il n’est pas rare de subir une nouvelle attaque quelques mois ou années après.
Etienne Lafore
Senior Manager
Wavestone
Au moins une semaine est en moyenne nécessaire pour reconstruire le cœur AD sans préparation et deux semaines pour retrouver une situation métier en fonctionnement dégradé
Afin d’être en mesure de minimiser le temps de reconstruction, voici un ensemble de mesures devant être anticipées :
Cybereason
80% des entreprises ayant payé une rançon subissent une seconde cyberattaque.
La gestion de la crise doit être vue comme la première partie de la course permettant à l’entreprise de passer un cap en termes de maturité sécurité. Il est alors nécessaire de définir un programme de transformation du SI pour traiter la dette et bien souvent changer de modèle de sécurité pour le réaligner avec les besoins du métier: un vrai marathon !
Ce livre blanc « Sécurisation de l’Active Directory et d’Azure AD, enjeux et trajectoires de transformation » revient donc sur les différentes tendances à l’œuvre, et fournit un ensemble des bonnes pratiques à adopter.
Cette publication a été réalisée avec Arnaud JUMELET (National Security Officer, Microsoft France), Pierre AUDONNET (Principal Customer Engineer, Microsoft Canada), Florent BENOIT (Partner Technology Strategist, Microsoft France), Rémi ESCOURROU (Manager, Wavestone), Jean-Yves GRASSET (Chief Security Advisor, Microsoft France), Benoit MARION (Senior Manager, Wavestone), Gregory SCHIRO (Compromise Recovery Security Practice, Microsoft) et Julien ROUSSON (Manager, Wavestone)