L’identité est devenue le dernier rempart de la sécurité d’un système d’information ouvert, ce qui a rendu la sécurité des annuaires absolument critique. Une surveillance temps réel de l’Active Directory est désormais indispensable.
Les annuaires Active Directory et son pendant Azure Active Directory sont une cible de choix pour les attaquants. Qui prend le contrôle de l’annuaire d’entreprise s’ouvre la porte à l’ensemble du système d’information. C’est notamment vrai des systèmes d’information ouverts sur l’extérieur qui sont en partie portés par le Cloud public ou à des fins de télétravail. Ces évolutions, les attaquants les ont bien comprises et ceux-ci concentrent désormais leurs efforts sur l’Active Directory. Selon Crowdstrike, 80% des attaques modernes sont de type Identity-Driven. Vol de credentials, mais aussi attaque directe sur l’Active Directory dès que l’attaquant parvient à s’infiltrer dans le système d’information, l’ITDR se positionne comme une solution Best of Breed qui vient renforcer la sécurité des annuaires de l’entreprise.
Dans un premier temps, le logiciel va chercher à évaluer le niveau de risque lié à l’architecture Active Directory en place. Le logiciel va rechercher les éventuelles erreurs de configuration qui pourraient présenter un risque d’attaque. La solution doit aider l’administrateur à paramétrer l’Active Directory en fonction des bonnes pratiques de sécurité.
Outre ce travail de fond, un outil doit fournir une protection temps réel sur toute l’infrastructure d’annuaires. Il s’agit d’une part d’assurer un monitoring constant de la configuration en place et d’éventuelles nouvelles permissions accordées qui pourraient constituer un nouveau risque. L’ITDR doit aussi détecter toute tentative d’attaque sur l’infrastructure d’annuaire. Il existe de nombreux modes d’attaques dont le Kerberoasting, le DCSync ou le DCshadow. Enfin, la solution de protection doit venir s’inscrire dans l’écosystème de sécurité, notamment s’interfacer avec les solutions de type XDR et SIEM afin d’améliorer la rapidité de la réponse à incident. Etant donnée la criticité de la sécurité de l’Active Directory, il est capital de rapprocher l’action des responsables des identités qui paramètrent l’architecture AD et créent les politiques d’accès et les pratiques du SOC, créant une boucle d’interaction afin d’accroître le niveau de sécurité des annuaires.