Envie de tout comprendre sur la sécurisation de l’Active Directory ? Nos experts du pôle projet de la branche Infrastructures, vous ont préparé cet article aux petits oignons !
📖 Retour aux origines
L’Active Directory (AD) est un service d’annuaire développé par Microsoft basé sur le protocole LDAP. Il permet de gérer les identités et les ressources au sein d’un réseau Windows. Introduit avec Windows 2000, il permet de stocker des informations sur les utilisateurs, les ordinateurs et d’autres objets (UO, Groupe …). Cela facilite ainsi la gestion des accès et des autorisations.
L’Active Directory joue un rôle crucial dans la sécurité des réseaux d’entreprises. En effet, il centralise l’authentification, l’identification et le contrôle d’accès.
🎯 Rôle et enjeux de l’Active Directory
L’Active Directory est donc essentiel pour :
- La gestion des identités
- La gestion des accès aux ressources
- La simplification de l’accès aux applications et éléments de travail
- La sécurisation de l’accès aux données de l’entreprise
Les enjeux liés à l’AD incluent donc la protection des données sensibles. Ainsi que, la prévention des accès non autorisés et la garantie de la continuité des services.
Selon un rapport de 2024, sur les risques ransomware liés à l’Active Directory, l’expert en sécurité, Semperis, indique que :
- L’Active Directory est la cible de 9 attaques sur 10
- 87% des attaques ont provoqué des pertes de données, des temps d’arrêt, […] malgré la présence d’un processus de recouvrement.
Ces chiffres montrent clairement que l’AD est extrêmement convoité. De plus, cela met aussi en évidence le fait que les entreprises n’ont pas les ressources nécessaires pour faire face à ces menaces.
🔒 Sécurité de l’Active Directory
La sécurisation de l’Active Directory est donc vitale pour les infrastructures et cela pour plusieurs raisons. En effet, une compromission de ce dernier peut avoir des conséquences graves comme :
- L’interruption des opérations : L’AD est central pour l’authentification et l’accès aux ressources. En effet, sa compromission peut paralyser l’ensemble des systèmes informatiques, entraînant des interruptions de service importantes.
- La perte de données : Les attaquants peuvent accéder à des informations sensibles, les voler ou les détruire. Cela peut donc entraîner des pertes de données critiques.
- Le ransomware : Les attaquants peuvent déployer des ransomwares, chiffrant les données et exigeant une rançon pour les déchiffrer. Autrement dit, causer des pertes financières directes et des coûts de récupération élevés.
- L’atteinte à la réputation : Une compromission de l’AD peut aussi nuire à la réputation de l’entreprise. En effet, cela peut affecter la confiance des clients, des partenaires et des investisseurs.
- Des coûts de remédiation : La reconstruction et la sécurisation de l’AD après une compromission sont complexes et coûteuses. Qui plus est, ces actions nécessitent souvent des ressources spécialisées et du temps.
- Le risque de nouvelles attaques : Si la remédiation n’est pas correctement effectuée, alors l’entreprise reste vulnérable à de futures attaques.
Pour éviter ces conséquences, il est donc essentiel de mettre en place des mesures de sécurité robustes. Aussi, il faut surveiller en continu l’AD pour détecter toute activité suspecte.
🗒️ Les axes de sécurisation de l’Active Directory
Attineos vous propose ainsi trois axes de sécurisation de l’Active Directory. L’objectif est d’augmenter significativement sa sécurité et donc de répondre aux différentes exigences d’outils d’audit. Par exemple : Ping Castle de Netwrix, ORADAD de l’ANSSI ou encore Purple Knight de Semperis.
TIERING
Le tiering consiste à segmenter les niveaux d’accès au sein de l’AD. La segmentation se fait en fonction de l’importance et de la sensibilité des composants. En règle générale, nous distinguons trois niveaux :
- Tier 0 : Inclut les composants critiques. Par exemple les contrôleurs de domaine Active Directory, les serveurs PKI, et les systèmes de gestion des identités.
- Tier 1 : Comprend les serveurs et applications de l’entreprise, tels que les serveurs de gestion (SCCM, WSUS).
- Tier 2 : Regroupe les postes de travail des utilisateurs et les terminaux mobiles, qui sont les plus exposés aux risques.
Le tiering permet donc d’isoler les couches d’administration et d’éviter les mouvements latéraux des attaquants. Cela passe par la mise en place d’une nouvelle organisation, de la délégation et du principe de moindre privilège.
HARDENING
L’hardening consiste à renforcer la sécurité des différents éléments de l’Active Directory. Cela peut inclure des éléments comme :
- Le renforcement de la stratégie de mot de passe utilisateur
- La mise en place de PSO en fonction de la population visée
- La désactivation des anciens protocoles
- Le renforcement des protocoles de communication
- La mise en place de silo d’authentification
- La mise en place des security baseline de Microsoft
- La mise en place d’AppLocker, Bitlocker ou LAPS
- La mise en place de restriction d’authentification
- La mise en place de PAW (Privileged Access Workstation)
- La mise en place d’une stratégie de pare-feu
- Etc.
SÉCURITÉ LOGIQUE ET PHYSIQUE
La sécurité logique concerne l’ensemble des moyens logiciels permettant d’assurer les DIC (Disponibilité, Intégrité et Confidentialité). Par exemple, les sauvegardes, les mises à jour, etc.
La sécurité physique quant à elle implique la protection des serveurs et des infrastructures où l’AD est hébergé. Cela garantit qu’ils sont à l’abri des accès non autorisés.
👉 L’AD, un enjeu plus que majeur
La sécurisation de l’Active Directory est donc un enjeu plus que majeur pour toute organisation utilisant des systèmes Windows. En mettant en œuvre des stratégies de tiering, de hardening et en assurant une sécurité logique et physique, suivant les recommandations de sécurité proposées par Attineos, les entreprises peuvent réduire considérablement les risques associés à leur infrastructure AD. Cela permet non seulement de protéger les données sensibles, mais aussi de garantir la continuité des opérations dans un environnement de plus en plus menacé par des cyberattaques.
Par ici pour contacter nos équipes d’experts : https://www.attineos.com/contact/
