AVIS D’EXPERT – La protection de l’identité des utilisateurs et de leurs identifiants est plus importante que jamais. L’hameçonnage, la faiblesse des mots de passe et le vol d’identités font maintenant partie des vecteurs d’attaque les plus prisés pour la violation de données. Les conseils de Matthieu Trivier Director of Pre-Sales de Semperis pour les lecteurs de Solutions-Numériques.
Selon le rapport 2022 d’IBM sur le coût d’une violation de données, les identifiants compromis sont responsables de 19 % des violations de données, chacune coûtant en moyenne entre 4,4 et 9,4 millions de dollars. De plus, le rapport d’enquête 2022 de Verizon sur les violations de données révèle que les types de données majoritairement compromis en cas d’attaque par hameçonnage sont les identifiants et les données personnelles.
Historiquement, la sécurité en matière d’identité a fait l’objet d’une attention a posteriori, les priorités tournant traditionnellement autour de la fortification du périmètre du réseau, dans une approche de type « château et douves ».
Ce type d’approche s’avérait efficace lorsque les ressources des entreprises n’existaient qu’au sein des réseaux d’entreprise. Cependant, dans un monde dominé par des environnements informatiques transformés, toujours plus orientés vers le cloud, la sécurité en matière d’identité est devenue une préoccupation beaucoup plus sérieuse. En effet, de nombreuses ressources se trouvent désormais dans le cloud, les entreprises tirant parti des applications web, des serveurs cloud, des systèmes de stockage de fichiers numériques, etc… Malheureusement, dans ce monde connecté, les stratégies de châteaux et douves ne suffisent tout simplement plus.
Stratégies de sécurité en matière d’identité et « triangle de l’identité »
Les entreprises commencent heureusement à prendre conscience des menaces pour la sécurité en matière d’identité et reconnaissent la nécessité de s’adapter, d’évoluer et de moderniser leurs pratiques de sécurité.
Par exemple, d’ici à 2025, Gartner estime que plus de 40 % des organisations utiliseront des analyses et des informations de gouvernance et d’administration des identités (IGA) en vue de réduire les risques pour la sécurité sur l’ensemble de leurs domaines de gestion des identités et des accès (IAM). La société de conseil estime également que 7 nouveaux déploiements de gestion des accès, de gouvernance, d’administration et d’accès privilégiés sur 10 seront des plateformes IAM convergées.
Cela attire notamment notre intention du fait que les stratégies de sécurité en matière d’identité s’articulent en général autour d’un triangle constitué de solutions de gouvernance et d’administration des identités (IGA), de gestion des accès à privilèges (PAM) et d’authentification unique (SSO) ou d’authentification multifacteur (MFA):
- IGA: Il s’agit d’un cadre de politique IGA qui permet aux entreprises de réduire les risques liés aux identités en automatisant la création, la gestion et la certification des utilisateurs du réseau et des comptes associés, ainsi que l’attribution des rôles et droits d’accès spécifiques. Cette fonctionnalité permet aux entreprises de rationaliser l’approvisionnement des utilisateurs, la gestion des mots de passe et la gouvernance des accès, et ce avec facilité tout en améliorant la sécurité.
- PAM: Les solutions PAM sont conçues pour protéger les entreprises contre les attaques en assurant la surveillance nécessaire pour détecter et empêcher tout accès privilégié non autorisé aux données critiques de l’entreprise. En combinant leur expertise individuelle aux processus et à la technologie dédiée, les entreprises peuvent bénéficier d’une meilleure perception des activités exactes de chaque utilisateur connecté tout en limitant le nombre d’utilisateurs ayant accès aux fonctions administratives.
- SSO et MFA: Les mécanismes d’authentification SSO et MFA contribuent à assurer la sécurité d’une configuration IAM spécifique. De manière générale, la SSO vise en premier lieu à faciliter l’identification des utilisateurs, tandis que la MFA est axée sur la sécurité.
Un petit trou dans la coque et c’est tout le navire qui sombre
Les organisations qui s’appuient sur ces trois bases essentielles pensent généralement disposer d’une stratégie de sécurité en matière d’identité à la fois efficace, sûre et robuste. Ce n’est cependant pas toujours le cas.
En réalité, la quasi-totalité de la sécurité en matière d’identité est liée à Microsoft Active Directory (AD), le principal magasin d’identités qui est utilisé par la plupart des entreprises dans le monde entier. Élément central du triangle de l’identité, AD constitue le fondement de la confiance en matière d’identité. Si AD présente des failles de sécurité, celles-ci se répercutent sur les trois côtés du triangle.
Il est crucial de se souvenir qu’AD est un outil relativement ancien, développé il y a de cela 20 ans en misant sur le côté pratique d’une utilisation simple, mais efficace. Aussi, AD n’est pas en mesure de faire face aux cyberattaques sophistiquées auxquelles nous sommes désormais confrontés. Il a été conçu pour pouvoir gérer et surveiller sans difficulté un grand nombre d’utilisateurs et leur permettre d’accéder aux ressources dont ils ont besoin, quand ils en ont besoin, ce qui fait aujourd’hui d’AD une cible de premier choix pour les attaquants.
En effet, AD est bien trop souvent négligé dans le cadre des programmes de sécurité, ce qui donne lieu à une importante vulnérabilité sous-jacente, à la merci des cyberattaquants.
Le cœur du problème relève essentiellement d’une sensibilisation insuffisante, en particulier ces dernières années. Même les organisations qui migrent vers le cloud ne sont pas à l’abri des vulnérabilités d’AD. Neuf fois sur dix, Azure Active Directory (Azure AD) accorde les privilèges à partir d’AD sur site, que la plupart des organisations continuent d’utiliser comme principale source de vérité. Les attaquants peuvent se servir d’AD (et s’en sont déjà servi) pour atteindre Azure AD, et inversement.
Quatre étapes pour une meilleure protection d’AD
Dans ce contexte, AD est souvent dans l’angle mort des stratégies de sécurité mises en place par les organisations.
Ces dernières ont conscience de la menace qui pèse sur les identités, mais ne comprennent pas toujours son lien avec AD. Par conséquent, beaucoup estiment que leur sécurité en matière d’identité est assurée alors que les brèches sont en réalité nombreuses.
La mise en œuvre de solutions visant à maintenir des stratégies de sécurité sans failles, comme Zero Trust, relève d’un effort presque inutile si un cyberattaquant qui s’est introduit dans AD peut tout simplement se connecter à l’appareil qu’il souhaite compromettre.
Toutes les identités étant liées à AD, il est impératif d’améliorer la cyber-résilience et la visibilité. Voici les quatre étapes élémentaires que les entreprises doivent suivre pour protéger au mieux leur AD :
- Avant toute chose, les organisations doivent veiller à bien comprendre la posture de sécurité de leur AD et faire en sorte de repérer les éventuels indicateurs d’exposition ou de compromission. Par chance, des outils communautaires tels que Purple Knight de Semperis sont là pour vous aider à accomplir cette mission. Purple Knight offre une connaissance de la maturité d’AD en matière de sécurité en fournissant des informations clés, par exemple en signalant les erreurs de configuration qui peuvent exposer AD aux attaquants et en mettant en avant les signes indiquant que des cyberattaquants pourraient d’ors et déjà avoir compromis l’environnement.
- Les entreprises doivent ensuite établir des processus de sauvegarde d’AD, lesquels doivent pouvoir être testés. Souvent, AD fait l’objet d’une sauvegarde quotidienne ou hebdomadaire, or cette stratégie présente deux inconvénients majeurs. Premièrement, des dizaines de milliers de modifications s’effectuent potentiellement chaque jour sur un réseau ; ces modifications sont susceptibles d’être perdues en cas de compromission de la sécurité. Deuxièmement, les entreprises testent rarement leurs processus de sauvegarde, et se retrouvent donc difficilement capables de les lancer dans les moments critiques. Pour ne rien arranger, la récupération à partir de sauvegardes d’état système ou de récupération à chaud peut réintroduire une infection par un logiciel malveillant. Afin de résoudre ces problèmes, les entreprises doivent établir des sauvegardes spécifiques à AD en temps réel, assurant ainsi des récupérations propres. Ces sauvegardes permettent une récupération rapide et sans accrocs, qui peut être testée et mise en pratique.
- L’analyse et les sauvegardes ayant été établies, les organisations peuvent alors prendre des mesures pour améliorer la santé d’AD. La surveillance des configurations d’AD au fil du temps peut vous aider à comprendre les changements qui s’opèrent en matière d’exposition et de niveau de risque. Des modifications clés peuvent-elles permettre à une organisation de maintenir une posture de sécurité saine et connue ? Une surveillance continue et un examen constant peuvent apporter des réponses à de telles questions, en maintenant une solide posture de sécurité.
- Attention : ne réalisez jamais de tests de sécurité sur votre AD de production en direct. De la même manière que vous ne testeriez pas une application de production en direct au lancement, les organisations doivent mettre en place des environnements AD distincts en miroir sur lesquels seront réalisés les tests, afin d’éviter les temps d’arrêt injustifiés.
Ces étapes n’ont jamais été aussi cruciales. La sécurité d’AD est un aspect essentiel de toute stratégie de protection de l’identité. Si vous envisagez de moderniser votre parc informatique, il est impératif que vous commenciez par vous intéresser à AD.
AD est une application fondamentale et essentielle. Si AD n’est pas opérationnel, rien ne le sera.
Matthieu Trivier