Emmanuel Gras,
CEO et co-fondateur d’Alsid
L’infrastructure d’annuaire Active Directory (AD) a pour fonction de gérer l’identification et l’authentification d’un réseau de postes sous Windows. Elle joue donc un rôle central dans l’accès aux ressources de l’entreprise et le contrôle du SI. Même s’il est nativement sécurisé par Microsoft, un AD mal configuré est une porte d’entrée offrant un accès aux données et aux documents stockés sur les postes et les endpoints de l’entreprise, que ces éléments soient sécurisés eux-mêmes ou non. Pour Emmanuel Gras, CEO et co-fondateur d’Alsid, il est impérieux de ne pas laisser un AD sans surveillance. Voici ses conseils pour bâtir les fondations d’une forteresse.
Allez au-delà de l’apparent.
Vérifier les comptes d’administrateurs ne suffit évidemment pas. Si l’AD est un système global, la veille et la mise en place de contre-mesures qui permettent de détecter, isoler et remédier à une attaque sur l’AD doivent être chirurgicales. L’AD requiert une attention de tous les instants pour s’assurer de sa conformité avec les règles de sécurité établies, et préserver la sécurité des droits d’accès, donc des données confidentielles de l’entreprise.
Evitez le piège du “shadow admin”.
Il est crucial d’instaurer des barrières de sécurité forte. Par expérience, le modèle de sécurité suivi en entreprise est parfois assez permissif (une nouvelle personne arrive et dispose de droits sur l’AD qui n’ont pas lieu d’être). Aujourd’hui, par exemple, des prestataires externes sont missionnés pour installer les serveurs et conservent certaines permissions importantes sur ceux-ci. C’est la fameuse « shadow administration » qui crée la faille car c’est par ce prestataire que le hacker pourrait pénétrer dans votre AD . Ainsi, vous devez définir un modèle de sécurité fiable de l’AD et isoler les ressources sensibles, fournir les bons droits aux bonnes personnes. Une fois que ces barrières sont en place, assurez-vous qu’elles soient pérennes dans le temps, car l’AD évolue en permanence.
Maîtrisez vos populations d’administration.
Par effet boule de neige, il vous faut faire le diagnostic des privilèges d’administration accordés (personnes, prestataires, applications métiers, professionnelles et personnelles). Ce sans quoi, vous donnez certes une grande responsabilité à ces administrateurs qui évidemment ne fait qu’augmenter le risque, la surface d’attaque sur l’infrastructure AD et met en danger le SI.
Eduquez l’interne et explicitez les règles.
La formation aux règles de sécurité, à la sécurisation de l’AD sont primordiales. N’ayez pas peur de les énoncer clairement, d’expliquer pourquoi certains ont des droits restreints et d’autres plus larges. Froisser certains égos ne mettra pas en péril votre entreprise, froisser l’Active Directory en revanche le peut. Il vous faut rationaliser les droits.
