À l’issue d’un semestre de montée en puissance des cyberattaques dans tous les domaines d’activité et partout dans le monde, voici les tendances qui vont définir les mesures à prendre dans l’immédiat contre les attaques visant les revenus des entreprises, la sécurité publique et nationale. Une tribune de Mickey Bresman, CIO de Semperis.
Les difficultés à appliquer les fondamentaux de la sécurité de l’Active Directory
Tout d’abord, Active Directory existe depuis 20 ans et à ces débuts la sécurité n’était pas nécessairement une priorité absolue pour les équipes chargées de sa configuration. Il faut ajouter à cela que l’AD est désormais bien plus compliqué : tout environnement a de nombreux niveaux d’autorisations et autres paramètres complexes.
L’AD reste le cœur battant de la gestion d’identités, le cœur de la plateforme d’identités pour la plupart des organisations, mais tout le reste a changé rapidement. L’hygiène de base de l’AD ne posait pas problème il y a 15 ans. Par conséquent, une bonne partie des erreurs faites hier sont devenues les problèmes d’aujourd’hui. Je voudrais aussi dire un mot sur le manque de compétences nécessaires, car vous avez des gens qui connaissent parfaitement l’AD, mais raisonnent plutôt en termes opérationnels. D’autres connaissent sur le bout des doigts les procédures d’urgence et la sécurité, mais ne sont pas des experts de l’AD. Il est difficile de trouver une personne réunissant cette combinaison de compétences.
Décloisonner les équipes de l’IT et de la sécurité
L’identité doit absolument faire partie de l’approche générale de la cybersécurité de l’entreprise. Toute personne responsable de l’identité doit mettre la cybersécurité au premier plan. Sachant que de nombreuses organisations dépendent de l’Active Directory pour maintenir leurs opérations après une cyberattaque, comment retrouver un fonctionnement normal aussi rapidement que possible si le pire se produit ?
Certaines sociétés ont amorcé le processus de transfert de la responsabilité de l’identité à l’équipe de sécurité. Et même dans les organisations où l’identité reste gérée sous l’angle opérationnel, les informaticiens sont davantage sensibilisés à la sécurité et l’on constate une meilleure collaboration entre les équipes de sécurité et IT, notamment pour la gestion de l’identité et l’Active Directory.
C’est une tendance encourageante à mon avis : si vous êtes responsable de l’une des facettes de l’identité, vous devez donner la priorité à la sécurité.
Les défis de sécurité découlant de la gestion d’un environnement d’identité hybride
La gestion des environnements d’identité hybride présente de nombreux challenges, à commencer par le fait que l’Active Directory et l’Azure Active Directory n’ont pas grand-chose en commun hormis leur nom. Azure AD utilise une pile de protocoles différents et, par conséquent, implique une approche de gestion très différente, y compris pour la protection du système d’identité contre les cyberattaques. Par exemple, si je modifie les identités dans le Cloud, est-ce que cela affecte ma position de sécurité générale dans le centre de données, à savoir l’environnement sur site ? Dans un scénario hybride, la surface d’attaque potentielle est plus étendue. Il est relativement courant de voir des attaques commencer sur site, puis se propager sur le Cloud, ou inversement. Les organisations doivent dès maintenant réfléchir aux modifications apportées aux systèmes d’identité dans chaque environnement, et se demander si la connectivité entre les deux risque de créer un point d’entrée pour les pirates.
La gestion de la sécurité dans un environnement hybride met également au premier plan le modèle de responsabilité partagée. La responsabilité de Microsoft est de s’assurer que le service continue de fonctionner et ce que font les organisations ensuite de leur environnement, y compris sa sécurisation, relève de leur responsabilité.
Le modèle hybride pourrait bien rester en place indéfiniment
La majorité des organisations n’abandonnera jamais la totalité de leur centre de données. Le modèle hybride pourrait bien rester en place indéfiniment. Les entreprises feront le tri entre ce qu’il est préférable de gérer depuis le centre de données et ce qu’il vaut mieux utiliser en tant que service (aaS) confié à Microsoft, AWS, Google ou tout autre prestataire. Elles ont désormais un vrai choix de solutions en fonction de leur situation et des besoins. Le Cloud n’est pas une solution universelle.
Mais quelle que soit la proportion de systèmes et de ressources sur site et Cloud, il n’en reste pas moins vrai que le référentiel d’identité doit être protégé. Il est également acquis que l’importance de la protection de l’identité ne cessera de croître au fur et à mesure de la progression des processus de numérisation et d’adoption du cloud.
