J'ai déjà abordé la question des privilèges excessifs d'Active Directory dans le cadre d'autres sujets plus généraux. Mais récemment, je me suis dit qu'il était temps d'y consacrer un article entier. Cette idée n'est pas le fruit du hasard. Il vous suffit d'examiner quelques faits pour comprendre pourquoi vous devriez bientôt, si ce n'est aujourd'hui, revoir les privilèges d'Active Directory dans votre organisation :
- Les privilèges excessifs d'Active Directory existent dans la plupart des entreprises, même aujourd'hui.
- Les erreurs (qui peuvent avoir un coût dévastateur) sont beaucoup plus susceptibles de se produire avec un nombre inutilement élevé d'utilisateurs qui PEUVENT effectuer des changements qu'ils ne devraient pas pouvoir faire.
- Comme vous le savez, les cyber-attaques centrées sur AD utilisent l'escalade des privilèges comme méthode de base, et avec de nombreux utilisateurs privilégiés dans votre système, les attaquants peuvent littéralement rester invisibles, même si vous essayez de surveiller les activités AD.
- Vous ne voulez pas vous rendre compte que vous avez eu un employé mécontent trop privilégié (surtout lorsqu'il est trop tard). Ce n'est pas aussi rare que vous le pensez. Le rapport Verizon DBIR 2016 indique que près de 8 % des violations de données organisationnelles proviennent de sources internes intentionnelles (employé ou ancien employé malveillant).
Vous savez maintenant pourquoi j'ai voulu en faire le sujet de mon billet.
Si tout le monde sait que c'est mauvais, pourquoi l'excès de privilèges dans Active Directory est-il si courant ?
Il arrive que certains employés aient besoin d'effectuer des tâches qui requièrent davantage de privilèges. Il est normal que les administrateurs accordent ces privilèges, mais quelqu'un se souvient-il de supprimer ces privilèges supplémentaires par la suite ? Dans la plupart des cas, non. Il est important de se rappeler que les employés sont susceptibles de signaler qu'ils ont besoin d'un privilège qu'ils n'ont pas, mais qu'ils ne se plaignent pas d'avoir un privilège qu'ils n'utilisent pas. C'est ainsi que des privilèges excessifs peuvent réellement s'accumuler au fil du temps.
En ce qui concerne les groupes privilégiés, les rôles les plus privilégiés dans AD sont généralement les administrateurs d'entreprise, les administrateurs de domaine et les administrateurs. D'autres rôles confèrent des privilèges qui sont parfois automatiquement accordés aux employés et qui ne sont pratiquement jamais revus. Tout d'abord, il est important de noter que toutes les personnes assignées à des groupes spécifiques n'ont pas besoin de tous les privilèges de leur groupe. Deuxièmement, pensez à la dernière fois que vous avez vérifié le nombre de personnes dans votre organisation qui disposaient de comptes privilégiés. Cela remonte probablement à un certain temps et il se peut qu'il y ait un peu trop de personnes sur la liste à l'heure actuelle.
Une autre raison, qui pourrait être le facteur clé : alors que beaucoup d'entre vous savent pourquoi les privilèges excessifs sont risqués, commencer à examiner tous les privilèges dans l'organisation peut être une tâche décourageante. Cela peut prendre beaucoup de temps et de ressources, et vous n'avez ni l'un ni l'autre. C'est une chose importante à faire, mais elle apparaît rarement comme urgente, de sorte que dans de nombreuses organisations, elle est considérée comme moins prioritaire.
Que peut-il se passer si vous ne faites rien
?
Nous avons évoqué la possibilité d'un scénario d'employé mécontent. Il est facile de comprendre pourquoi vous voudriez vous assurer que vos données sont plus sûres et que tous vos employés disposent UNIQUEMENT des privilèges dont ils ont besoin pour travailler dans l'immédiat (moindre privilège). Vous ne pouvez jamais savoir lequel de vos employés sera malhonnête, c'est pourquoi limiter l'accès de chacun au minimum nécessaire est un excellent moyen d'éviter les surprises.
Bien entendu, tous les problèmes ne sont pas dus à des intentions malveillantes. Nous sommes tous des êtres humains et il nous arrive à tous de faire des erreurs. Bien qu'Active Directory soit un système très stable, nous avons tous entendu un jour ou l'autre une terrible histoire de "oups-moment". Lorsque vous supprimez les privilèges inutiles, vous pouvez minimiser le risque de tels "oops-moments" qui pourraient autrement se produire.
Nous avons également évoqué la possibilité d’une cyberattaque. Ce n’est pas vraiment une nouvelle qu’Active Directory est de plus en plus ciblé par des pirates externes, car il s’agit d’une porte fabuleuse par laquelle un attaquant peut obtenir beaucoup d’informations. Si vous avez plus de comptes privilégiés que nécessaire, si des pirates accèdent à votre système, ils seront plus difficiles à découvrir. Même lorsque vous surveillez l’activité dans Active Directory en permanence, vous ne voulez pas avoir besoin de trouver une « aiguille dans une botte de foin ». Pour augmenter votre capacité à détecter les attaquants, vous pouvez réduire les privilèges autant que possible. Et pour ajouter une autre raison, imaginez que l’un de vos utilisateurs clique ou télécharge par inadvertance quelque chose qu’il ne devrait pas et finit par lancer un code malveillant. Si l’utilisateur est connecté avec des privilèges d’administrateur, le virus peut accéder à un grand nombre de données de votre organisation. Si le logiciel malveillant est exécuté sous un compte non privilégié, il n’accédera, du moins dans un premier temps, qu’aux données d’un seul utilisateur.
Comment résoudre de manière responsable le problème des privilèges excessifs ?
Il y a beaucoup de choses que vous pouvez faire pour éviter l'excès de privilèges, et il est important de trouver le bon équilibre pour votre équipe et votre organisation. La mise en œuvre des politiques les plus strictes peut sembler tentante pour pécher par excès de prudence, mais elle peut aussi alourdir la charge de travail de l'équipe informatique - il convient donc d'évaluer vos besoins et vos capacités pour choisir le bon plan. Nous examinerons ici quelques-unes des options les plus faciles à gérer.
Vous pouvez mettre en œuvre des contrôles d'accès granulaires qui appliquent le principe du moindre privilège. En fait, Microsoft a constaté des privilèges excessifs chez de nombreux clients et a décidé de publier un guide pour vous aider à mettre en œuvre des modèles d'administration à moindre privilège.
En outre, lorsque vous ajoutez des privilèges, veillez à ce qu'ils soient temporaires pour les employés qui en font la demande (limitez-les à une semaine ou à un mois). Au pire, les employés demanderont à nouveau les mêmes privilèges à l'avenir. Au mieux, vous éviterez à votre organisation un désastre inutile.
Le processus d'élimination des privilèges excessifs au sein de l'organisation pouvant sembler décourageant, essayez de le diviser et de le conquérir. Commencez par vous occuper des comptes dont les privilèges présentent le plus de risques. C'est aussi simple que le principe de Pareto (ou la règle des 80/20). Il est parfois possible d'éliminer 80 % des risques en s'attaquant à 20 % des causes.
La liste des méthodes possibles est longue, jusqu'à l'approche la plus radicale qui consiste à ne pas avoir de comptes AD privilégiés dans l'organisation. Cette approche est maintenue en permettant aux administrateurs d'accéder à des hôtes administratifs sécurisés, où ils seront autorisés à effectuer toutes les tâches d'administration. La raison pour laquelle je qualifie cette approche de radicale est que, comme vous devez le savoir, elle renforcera la sécurité, mais rendra beaucoup plus difficile le maintien d'un fonctionnement harmonieux. Dans les organisations d'aujourd'hui, la charge de travail des professionnels AD ne cesse de croître. En outre, les ressources destinées à gérer les besoins des organisations en matière d'AD n'augmentent pas nécessairement aussi vite qu'elles le devraient. L'ajout de cette couche d'obstacles peut donc sembler quelque peu improductif.
Et lorsque vous cherchez un plan de secours...
Il existe d'autres facteurs qui peuvent provoquer un désastre AD, au-delà de la question de l'excès de privilèges. Vous pensez probablement à des mises à jour AD, à des attaques malveillantes ciblées ou même à des catastrophes naturelles. Il est donc toujours plus sûr d'avoir dans sa "boîte à outils" une solide solution d'automatisation de la reprise après sinistre de l'Active Directory. Ces technologies d'automatisation/orchestration ne font pas de différence entre les causes des sinistres : La cause de la défaillance d'Active Directory n'a pas d'importance, seul compte le fait que la reprise soit rapide et facile. Un bon exemple de solution dont vous pouvez tirer parti est Semperis Active Directory Forest Recovery, qui minimise les délais de reprise et simplifie considérablement le processus de récupération après un sinistre AD.
Il est également important de TOUJOURS disposer d'une bonne sauvegarde de l'Active Directory. Si vous ne disposez pas encore d'une technologie AD DR, vous pouvez toujours améliorer vos sauvegardes Active Directory. Vous disposerez ainsi d'un filet de sécurité indispensable en cas de sinistre. Vous pouvez regarder ce tutoriel de 20 minutes sur les meilleures pratiques en matière de sauvegarde AD pour voir si votre stratégie de sauvegarde actuelle répond à tous vos besoins (montez le volume de vos haut-parleurs :).
Tout ce que j'ai mentionné ici sur les avantages de la réduction des privilèges pour les utilisateurs s'applique également aux serveurs, aux postes de travail et aux applications - pour des raisons similaires. Ce qu'il faut retenir, c'est que si le processus de résolution du problème de l'excès de privilèges est long, il existe des bonnes pratiques pour vous aider à démarrer et des technologies pour sécuriser votre système d'information, avant, pendant et après le processus.
