Sécurité Active Directory
Bonnes pratiques pour sécuriser votre environnement AD et assurer sa conformité. La sécurité Active Directory est souvent décrite comme un moyen de contrôler les clés de votre château informatique : cette métaphore est intéressante, mais elle présente également d’importantes limites. Active Directory fonctionne comme un gardien, en déterminant qui possède les clés d’accès à votre réseau, ainsi que les données et les autres ressources que chacune de ces clés peut déverrouiller. Mais contrairement à un château, votre environnement informatique est un lieu incroyablement dynamique, avec des utilisateurs qui vont et viennent en permanence, des collaborateurs qui assument de nouvelles fonctions, l’ajout et le retrait d’applications, etc. La sécurité Active Directory n’est donc pas un événement ponctuel, comme le changement des serrures d’un château, mais un processus continu.
Vous trouverez ci-dessous d’autres conseils pour sécuriser votre environnement Active Directory.
03:01
État actuel de la sécurité AD
Présentation de la sécurité Active Directory
Comprendre la sécurité AD
La sécurité Active Directory constitue un véritable numéro d’équilibriste. En poursuivant la métaphore du château, si un roi ou une reine sont libres d’imposer à leurs sujets les mesures de sécurité de leur choix, les professionnels de l’informatique doivent garder à l’esprit les besoins de l’entreprise. Si les mesures de sécurité sont trop fastidieuses, elles ralentissent les processus métiers essentiels et font fuir les collaborateurs talentueux. Par exemple, il est essentiel de veiller à ce que seules les personnes appropriées puissent accéder aux données médicales de telle ou telle personne, mais il est tout aussi important de s’assurer que les équipes médicales puissent consulter les diagnostics et les ordonnances d’un patient à temps pour lui prodiguer les soins adaptés. De plus, certains utilisateurs trouvent des moyens de contourner les mesures de sécurité qu’ils trouvent trop gênantes : si vous exigez d’eux qu’ils créent des mots de passe complexes à modifier tous les trente jours, vous trouverez bientôt nombre de pense-bêtes sur leur bureau, ce qui nuit à votre objectif de protéger leurs comptes contre les accès non autorisés.
Sécurité et conformité
Il est important de comprendre que si la sécurité Active Directory est étroitement liée à la conformité aux normes en vigueur, ce sont deux choses différentes. De nombreuses réglementations de conformité comprennent des exigences qui affectent directement les stratégies et procédures de sécurité AD. Néanmoins, ces obligations s’étendent souvent à d’autres domaines, tels que l’accès physique aux locaux, la formation du personnel et la responsabilité des dirigeants. D’un autre côté, la sécurité AD complète ne se limite pas à assurer la conformité à une ou plusieurs réglementations.
La sécurité AD est une composante essentielle de
nombreuses réglementations de conformité, notamment RGPD,
CCPA, HIPAA, SOX et PCI-DSS. Si vous ne sécurisez pas correctement
votre environnement Active Directory, vous risquez de subir divers
désagréments, notamment de lourdes amendes de la part des
autorités de réglementation, des peines de prison pour les
dirigeants, l’impossibilité de traiter les transactions par carte
de crédit et la perte de confiance des clients.
Rôle crucial de la sécurité
Quels sont les risques de sécurité courants liés à Active Directory ?
Les risques de sécurité liés à Active Directory découlent principalement du manque d’informations et de contrôle sur trois facteurs clés :
- qui pénètre sur votre réseau,
- quelles sont les actions autorisées une fois connecté
- et quelle activité a réellement lieu.
Certains de ces risques portent des noms spécifiques, tels que les menaces internes, le harponnage, l’élévation des privilèges et le mouvement latéral. Néanmoins, la meilleure façon de gérer les risques de sécurité AD n’est pas de lutter contre chacun d’eux individuellement. Cette approche accroît les coûts et renforce la complexité des systèmes informatiques, ce qui aggrave le problème au lieu de le résoudre.
La meilleure stratégie consiste plutôt à nettoyer Active Directory et à obtenir une visibilité claire sur l’activité dans l’ensemble de votre environnement informatique. Les outils intégrés à Active Directory ne fournissent qu’une petite partie des fonctionnalités requises et leur utilisation est fastidieuse. Il est donc judicieux d’investir dans des solutions complètes qui automatisent et simplifient les processus de base nécessaires à l’établissement d’une sécurité Active Directory renforcée.
Bonnes pratiques de sécurité Active Directory
Active Directory existe depuis longtemps. Il est donc facile de trouver des bonnes pratiques qui ont fait leurs preuves pour renforcer considérablement sa sécurité et sa conformité. La mise en œuvre des bonnes pratiques suivantes vous aidera à limiter les risques pesant sur vos données et systèmes informatiques, ainsi qu’à garantir le succès futur de votre organisation.
1. Évaluations régulières
L’une des bonnes pratiques de sécurité AD les plus
importantes consiste à vérifier régulièrement
l’état de votre environnement informatique et à rechercher
de manière proactive les problèmes potentiels de
sécurité et de conformité.
Comparez
régulièrement les paramètres de configuration de vos
terminaux, contrôleurs de domaine et autres systèmes Windows avec
un bon état de référence, puis corrigez rapidement toute
dérive involontaire ou modification malveillante.
Veillez à
vérifier fréquemment la stratégie de groupe, qui permet
d’appliquer des paramètres standard à tous vos
utilisateurs et ordinateurs. Une stratégie de groupe contrôle un
large éventail d’activités. Vous pouvez interdire à
des utilisateurs d’accéder au Panneau de configuration,
d’utiliser l’invite de commande ou d’installer des
logiciels. Même une seule modification incorrecte d’un objet
de stratégie de groupe (GPO) peut provoquer des
dégâts importants. Par exemple, il se peut que des utilisateurs
puissent soudainement insérer des lecteurs USB et ainsi
libérer des rançongiciels ou d’autres logiciels
malveillants dans vos systèmes. Assurez-vous donc que vos
objets GPO fonctionnent comme prévu et peuvent identifier et
annuler rapidement toute modification inappropriée ou non
autorisée.
En outre, vérifiez que les correctifs des systèmes
d’exploitation Windows Server et autres logiciels sont
à jour et que vous n’utilisez que des versions entièrement
prises en charge par les fournisseurs.
2. Réduction des autorisations utilisateur
La bonne pratique la plus fondamentale en matière de
sécurité informatique est sans doute le principe du moindre
privilège. Donnez à chaque utilisateur l’accès dont
il a besoin pour effectuer ses tâches, ni plus, ni moins. AD vous permet
de regrouper les utilisateurs dont les fonctions sont similaires (par exemple,
tous les administrateurs du centre d’assistance ou tous les
collaborateurs des RH) dans un groupe de sécurité AD et de
les gérer ensemble. Les utilisateurs peuvent être, et sont
généralement, membres de plusieurs groupes AD, tels que des
groupes basés sur des projets.
L’utilisation des groupes de
sécurité AD n’est pas seulement pratique pour les
administrateurs ; elle améliore la sécurité en
réduisant les erreurs lors du provisioning et du déprovisioning,
et en simplifiant la structure des autorisations afin qu’il soit plus
facile de dire avec certitude qui a accès à quoi.
3. Analyse des incidents de sécurité
Quelle que soit la qualité de vos efforts de prévention, vous serez confronté à des incidents de cybersécurité. Vous devez donc être prêt à les examiner rapidement et à réagir de manière appropriée. Vous devez être en mesure d’identifier rapidement l’origine de la violation, son déroulement ainsi que les systèmes et données concernés. Ainsi, vous pourrez tenir les personnes responsables de leurs actes et prendre des mesures pour éviter que des incidents similaires ne se produisent à l’avenir.
4. Gestion des autorisations des utilisateurs et des groupes
Comme indiqué plus haut, le principe du moindre privilège est
la bonne pratique de base en matière de sécurité
informatique. Si vous deviez attribuer manuellement les autorisations de
chaque utilisateur à chaque ressource individuellement (et maintenir
ces autorisations à jour au fur et à mesure que les utilisateurs
vont et viennent et changent de poste au sein de l’organisation), vous
seriez débordé. De plus, votre organisation serait
exposée à un risque élevé de non-conformité
et de violation.
La possibilité de créer des groupes de
sécurité AD et de gérer les autorisations des
utilisateurs similaires ensemble réduit la charge. Les utilisateurs
peuvent être, et sont généralement, membres de plusieurs
groupes AD, tels que des groupes basés sur des projets. Par
exemple, vous pouvez permettre à un nouveau directeur commercial
d’accéder à toutes les ressources appropriées en
l’ajoutant simplement à la fois au groupe de
sécurité Ventes et au groupe de sécurité Directeur
commercial. De même, s’il existe un nouveau dossier ou partage de
fichiers auquel tous les vendeurs doivent accéder, vous pouvez en
accorder l’accès au groupe Ventes, au lieu de devoir
l’ajouter aux comptes d’utilisateurs individuels, un par un.
Inversement, si un utilisateur passe d’un rôle de vente à
un autre poste, vous pouvez supprimer son accès à toutes les
ressources Ventes en le retirant du groupe Ventes, au lieu de devoir examiner
minutieusement chaque ressource qu’il est autorisé à
utiliser et déterminer si cet accès est toujours
légitime.
5. Contrôle des autorisations administrateur
L’utilisation des groupes de sécurité AD
n’est pas seulement pratique pour les administrateurs ; elle
améliore la sécurité en réduisant les erreurs lors
du provisioning et du déprovisioning, et en simplifiant la structure
des autorisations afin qu’il soit plus facile de dire avec certitude qui
a accès à quoi.
Les groupes de
sécurité AD qui accordent des privilèges de niveau
administrateur, tels que les groupes extrêmement puissants
Administrateurs de l’entreprise, Administrateurs du domaine et
Administrateurs du schéma, ainsi que le compte Administrateur local
créé lors de l’installation de Windows et qui a le
contrôle total des fichiers, répertoires, services et autres
ressources de l’ordinateur local, présentent un
intérêt particulier. Les organisations doivent contrôler
étroitement les membres de ces groupes d’accès à
privilèges et être attentives à toute modification de leur
appartenance, qui pourrait indiquer qu’un pirate ou un attaquant interne
malveillant tente d’élever ses privilèges pour
accéder à d’autres systèmes ou données.
6. Autorisations des comptes de service
Les comptes de service sont des comptes d’utilisateurs spéciaux que les applications et les services utilisent pour se connecter et effectuer des actions dans votre environnement informatique. Malheureusement, ces comptes détiennent souvent plus d’autorisations qu’ils n’en ont besoin, ce qui augmente les risques de sécurité. Parmi les raisons courantes de provisioning excessif, citons l’acceptation docile des exigences spécifiées par le fournisseur d’applications, l’incapacité à résoudre correctement les problèmes opérationnels et le simple clonage d’un service existant au lieu de prendre le temps d’en créer un avec les autorisations appropriées.
La bonne pratique consiste à s’assurer que tous les comptes de
service respectent le principe du moindre privilège. Vous devez
également prendre des précautions particulières
lorsqu’un compte de service a besoin de privilèges
administratifs. Vous ne devez jamais faire d’un compte de service un
membre d’un groupe administratif standard, tel que le groupe local
Administrateur ou Administrateurs du domaine. Il est recommandé
d’exécuter le service sous le compte LocalSystem ou de
créer un groupe personnalisé pour le compte de service et de
refuser explicitement l’accès de ce groupe aux autres comptes.
Dans la mesure du possible, il est prudent de configurer les comptes de
service afin qu’ils puissent uniquement se connecter pendant une
période déterminée de la journée.