Tim Springston Chef de produit principal, Semperis

La récupération d'Entra ID — et la résilience de l'identité en général — s'articule autour de deux types d'événements : la reprise après un incident et la reprise après une intrusion de sécurité.

Pour comprendre ces événements et les outils dont vous avez besoin pour résoudre les problèmes qu'ils engendrent, il convient d'examiner l'évolution du paysage des menaces liées à l'identité au cours des 15 dernières années.


Les erreurs du quotidien : un chemin pavé de bonnes intentions

Vers 2014, nous avons commencé à observer une nouvelle tendance en matière de problèmes liés à l'identité dans le cloud. Ces problèmes ne provenaient pas de pannes ou d'une mauvaise qualité des services cloud de Microsoft, mais d'erreurs commises par les administrateurs dans Azure AD (aujourd'hui Entra ID).

Quelques exemples tirés de la vie réelle :

  • Un administrateur autorisé supprime par inadvertance plusieurs groupes de sécurité qui régissent l'accès à une base de données essentielle à l'activité. Cela entraîne une interruption de service de deux jours, l'équipe ayant du mal à recréer manuellement les groupes et leurs membres de mémoire.
  • Un administrateur junior est chargé de « nettoyer les applications obsolètes », dans le but louable de réduire les risques de sécurité pour l'entreprise. Il supprime par inadvertance des milliers d'applications essentielles à l'activité qui ne sont absolument pas obsolètes, provoquant une panne de 28 jours et nécessitant une intervention majeure pour rétablir le fonctionnement normal.
  • Un administrateur bien intentionné a « libéré » des licences Office 365 en retirant leur attribution à des utilisateurs légitimes. Ce simple incident a perturbé l'activité professionnelle de centaines d'utilisateurs pendant plus d'une journée.

Ces incidents liés à des erreurs de configuration ou à des suppressions accidentelles n'étaient pas nouveaux. Des problèmes similaires étaient monnaie courante dans Active Directory depuis plus d'une décennie. Le bilan cumulé est ahurissant : un nombre impressionnant d'unités d'organisation (OU) et de leurs contenus ont été supprimés puis restaurés !

Mais constater des erreurs de configuration au niveau des identités dans le cloud, ça, c'était nouveau . Comment protéger les utilisateurs contre leurs propres erreurs si les identités sont hébergées dans le cloud ?


Le modèle de responsabilité partagée du SaaS fait que ce problème vous incombe.

En tant que client utilisant le service cloud, vous êtes seul responsable de l'intégrité des données du référentiel d'identités. Pour de nombreuses entreprises, cette responsabilité se traduit par un besoin évident de résilience des identités face à des erreurs bénignes mais aux conséquences importantes.


Intrusions malveillantes : les cybercriminels ne piratent pas les systèmes… ils s’y connectent

Dans le même temps, une autre tendance se dessinait : les cybercriminels mettaient tout en œuvre pour accéder aux ressources hébergées dans le cloud. La méthode la plus simple consistait à se connecter légitimement, et non à pirater le système. Il est donc devenu essentiel de mettre en place une authentification multifactorielle (reposant sur quelque chose que l'on possède, que l'on connaît ou qui caractérise la personne) ainsi que d'autres mesures de sécurité.

Il est rapidement apparu que l'ingénierie sociale et d'autres techniques permettraient aux cybercriminels d'accéder au système malgré tous les efforts déployés. Et dans les cas impliquant un employé malveillant, les intrus se trouvaient déjà « dans les locaux » et disposaient d'un accès. Les mesures de sécurité n'allaient pas les empêcher d'entrer ; il s'agissait en effet d'administrateurs légitimes.

Les exemples de ces cas illustrant le principe « se connecter, pas pirater » sont innombrables et marquants. Les plus connus sont les attaques qui ont débuté par une compromission des réseaux sociaux, comme la cyberattaque contre le MGM Grand, ainsi que les techniques en constante évolution utilisées par des acteurs malveillants tels que Storm 0501. J’ai été témoin de tout cela en temps réel, d’abord en tant que responsable des services d’identité dans le cloud, puis en tant que chef de produit chez Microsoft. J’ai régulièrement aidé des organisations à résoudre des situations similaires et je les ai rencontrées pour recueillir leurs retours sur leurs principales difficultés.


Évolution de la protection et de la récupération de l'identifiant Entra

Notre équipe chez Microsoft a rapidement constaté que deux types d'incidents majeurs nécessitaient des capacités renforcées : la restauration après un accident et la restauration après des modifications ou des suppressions malveillantes.

Nous devions traiter les scénarios d'accident de manière native. La stratégie que nous avons retenue consistait à renforcer la résilience des identités dans le cloud face aux modifications et suppressions accidentelles grâce à :

Nous avons abordé les scénarios de modification et de suppression malveillantes en mettant l'accent sur la sécurité plutôt que sur la résilience. Cette approche s'inscrit dans le cadre de la stratégie axée sur la sécurité « Zero Trust », dans le cadre de laquelle des fonctionnalités telles que l'accès conditionnel ont été renforcées et étendues. Le rétablissement rapide du niveau de sécurité pendant ou après une intrusion n'était pas la priorité.

Revenons à aujourd'hui. Les incidents liés à l'identité dans le cloud se poursuivent, et il reste essentiel de s'en prémunir. Parallèlement, les incidents malveillants ont gagné en fréquence et en gravité.  


Le fait que le scénario « le pirate s'est connecté » se produise de plus en plus souvent montre que les fonctionnalités de récupération après incident ne suffisent pas à elles seules.


Les entreprises ont besoin d'outils conçus pour rétablir la sécurité d'Entra ID et des applications métier, même face à des acteurs malveillants. Une résilience des identités axée sur la sécurité est nécessaire, notamment :

  • La capacité de rétablir rapidement et de manière exhaustive le niveau de sécurité
  • Une analyse détaillée de l'état antérieur
  • Une longue durée de conservation des sauvegardes (afin que la disponibilité des sauvegardes dépasse la période pendant laquelle les acteurs malveillants restent indétectés au sein du tenant)
  • Immuabilité des sauvegardes afin qu'elles soient disponibles en cas de besoin
  • Un cryptage robuste du contenu pour sécuriser les données

Outils permettant de protéger et de récupérer l'Entra ID en cas d'incident ou d'intrusion

Pour Entra ID, les défis liés à la restauration couvrent deux domaines très distincts : d'une part, la posture de sécurité et la restauration avancée, et d'autre part, les modifications ou suppressions accidentelles quotidiennes.

Semperis Disaster Recovery for Entra Tenant (DRET) répond à ce premier besoin en offrant des capacités de reprise axées sur la sécurité et basées sur des scénarios. Cette solution va au-delà d'une simple restauration à un instant donné. DRET peut reconstruire des objets et des politiques complexes et interdépendants (par exemple, l'accès conditionnel, la gestion des identités privilégiées (PIM), la gestion des appareils Intune et d'autres contrôles critiques) de manière à préserver la posture de sécurité prévue et à faciliter l'analyse des modifications malveillantes ou à haut risque. DRET répond également au besoin de donner la priorité à une restauration axée sur la sécurité et les scénarios, permettant ainsi aux décideurs de savoir ce qui doit être restauré et dans quel ordre— un aspect essentiel de la reprise après incident de sécurité.

Microsoft Entra Backup and Recovery complète ces fonctionnalités en se concentrant sur des problèmes courants et simples, tels que la suppression accidentelle ou la mauvaise configuration d'utilisateurs, de groupes et d'objets de répertoire de base. Cette solution s'applique dans les situations où les comportements de sauvegarde et les processus de restauration natifs sont suffisants et rentables.

Les entreprises ont besoin à la fois de DRET et de Microsoft Entra Backup and Recovery, car les environnements Entra ID modernes sont exposés à des risques multiples. Vous devez être en mesure de corriger rapidement les erreurs bénignes commises par les administrateurs et les opérateurs. Vous devez également disposer des moyens nécessaires pour contrer les attaques ciblées ou systémiques, ce qui nécessite des capacités avancées de restauration, de comparaison et d'orchestration afin de ramener le locataire en toute sécurité à un état connu et sécurisé, sans réintroduire les failles mêmes exploitées par l'attaquant.

En savoir plus : Comparaison entre Semperis Disaster Recovery for Entra Tenant et Microsoft Entra Backup and Recovery

Préparez-vous à l'avance aux accidents et aux actes malveillants grâce à des outils spécialement conçus à cet effet : Microsoft Entra Backup and Restore et Semperis Disaster Recovery for Entra Tenant.

Élaborez votre stratégie de résilience en matière d'identité en vous dotant des meilleurs outils de récupération d'identifiant Entra du secteur. Lorsque vous êtes en mesure de résoudre rapidement les incidents, ceux-ci ne sont plus que de simples contretemps, et non plus des problèmes qui vous obligent à mettre à jour votre CV pendant plusieurs jours.


Pour en savoir plus