Darren Mar-Elia | Stratège principal en sécurité

Que signifie réellement la résilience identitaire ?

Notre secteur adore les mots à la mode. Après plus de 40 ans dans ce milieu, je peux l’affirmer sans exagérer. Le dernier mot à la mode en vogue est « résilience ». Je le vois partout, appliqué à tout. J’entends même parler de ce concept en rapport avec les performances sportives de nos jours !

Mais lorsqu’il s’agit d’un sujet qui me tient particulièrement à cœur – l’identité –, la notion de résilience identitaire prend tout son sens. Un système identitaire résilient est un système capable de « encaisser les coups sans se laisser abattre » (pour reprendre un slogan d’antan).

La résilience signifie que votre système d'identité, même s'il a été compromis, voire potentiellement détruit, peut non seulement être restauré, mais aussi l'être de manière fiable.


La résilience identitaire nécessite un type de rétablissement particulier

Il est important de bien comprendre la nature spécifique de la restauration d'identité car, comme nous le savons tous désormais, la survie des organisations dépend entièrement de leurs systèmes d'identité.

Quand le système d'identité est hors service, c'est toute l'entreprise qui est paralysée, un point c'est tout. Votre capacité à rétablir ce système d'identité le plus rapidement possible, à un niveau permettant d'assurer les fonctions essentielles de l'entreprise, est donc l'une des tâches les plus importantes qui vous seront confiées. C'est le genre de situation qui peut faire ou défaire une carrière, et j'ai vu les deux scénarios se produire à maintes reprises.

En ce qui concerne Active Directory (AD), le système d’identité central utilisé par la quasi-totalité de la planète, la résilience des identités revêt une dimension et une forme bien particulières. Depuis plus de huit ans que j’aborde ce sujet avec mes clients, le point que je soulève est facilement compréhensible par quiconque s’est déjà aventuré dans les méandres d’une restauration complète d’une forêt AD:

La restauration d'un domaine Active Directory n'est pas comparable à celle d'un serveur de fichiers, d'un serveur de base de données, d'un serveur d'applications, ou… vous voyez ce que je veux dire.

AD est une base de données complexe, à plusieurs maîtres et répliquée. Il faut la restaurer de manière très précise, en suivant une série d'étapes très précises, dans le bon ordre… sinon, il faut tout recommencer.

Et si vous êtes une organisation de taille relativement importante, avec de nombreux sites géographiques, plusieurs domaines et de nombreuses dépendances vis-à-vis de systèmes externes, le problème devient alors encore plus complexe.


Choisir une solution de résilience des identités : quels sont les critères essentiels ?

J'ai eu le privilège d'être chez Semperis dès les tout débuts, alors que nous développions ce qui allait devenir la première solution de restauration de forêt Active Directory tenant compte des menaces cybernétiques.

Cette solution impliquait de repenser à la fois la sauvegarde et la restauration d'Active Directory : comment cela avait été fait pendant environ seize ans jusqu'alors, et pourquoi ce processus bien établi ne suffisait plus à répondre aux besoins face à la menace croissante des attaques visant Active Directory.

Ce que j'ai appris, c'est qu'il ne faut pas considérer la reprise après sinistre Active Directory comme « un simple problème de sauvegarde » à confier à « n'importe quel fournisseur de solutions de sauvegarde ».

L'expertise, ça compte. Vous ne voudriez pas que votre médecin généraliste vous opère du cerveau. De la même manière, vous devez vous assurer que votre solution de reprise après sinistre AD offre une véritable résilience de l'identité, et pas seulement une simple sauvegarde.


Liste de contrôle pour choisir votre solution de résilience des identités

Dans cette optique, j'ai dressé cette liste d'exigences qui devraient être non négociables pour vous dans le cadre de votre mission visant à assurer la résilience des systèmes d'identité critiques tels qu'Active Directory.


1. Commencez par comprendre ceci : la reconstitution de l'identité n'est pas une simple formalité administrative.

Se dire « Bon, j'ai sauvegardé AD, je suis prêt » revient à « espérer » : ce n'est pas une stratégie.


2. Ce qui importe avant tout, c'est la restauration, et non la sauvegarde.

C'est un corollaire du point n° 1. N'importe qui peut sauvegarder Active Directory à l'aide d'un ensemble de scripts utilisant les outils fournis par défaut. Mais tout le monde n'est pas en mesure de restaurer Active Directory d'une manière qui réponde aux besoins d'une organisation complexe souhaitant rétablir son infrastructure d'identité à la suite d'un incident cybernétique (nous y reviendrons au point n° 4).


3. Lorsque vous choisissez une solution de résilience des identités, ne vous contentez pas de croire le fournisseur sur parole.

Si le succès de votre entreprise dépend entièrement de ce qu’on vous propose, exigez qu’on vous en apporte la preuve. Réalisez une démonstration de faisabilité (PoC, ou « preuve de valeur ») en reproduisant fidèlement votre environnement Active Directory de production. Assurez-vous que la solution est capable de restaurer votre environnement Active Directory dans les délais fixés par votre objectif de temps de reprise (RTO).


4. Définissez votre RTO réel.

En complément du point n° 3, votre RTO doit inclure une capacité de reprise après sinistre suffisante pour assurer le fonctionnement de vos applications métier les plus critiques — ce que nous appelons la « Minimum Viable Company » (MVC). Si le RTO de votre fournisseur consiste à remettre en service un seul contrôleur de domaine… ce n'est pas votre RTO .

Si la restauration initiale du domaine ne couvre pas ces fonctionnalités métier essentielles et que vous devez passer encore un jour ou deux à mettre en place la capacité nécessaire pour rétablir les fonctions métier, c'est là que réside le RTO de la solution.


5. Sachez à quoi ressemble un domaine Active Directory compromis.

Assurez-vous également que la solution que vous avez choisie comprend bien ce que signifie un domaine Active Directory compromis.

L'Active Directory peut être compromis d'au moins deux façons. Les pirates peuvent compromettre le système d'exploitation sur lequel l'Active Directory est exécuté, ou compromettre l'Active Directory lui-même, en créant des mécanismes de persistance et des portes dérobées au sein de la base de données de l'Active Directory.

Une solution qui se veut « axée sur la cybersécurité » devrait pouvoir vous aider à répondre à ces deux besoins.

REMARQUE : Ne comptez pas sur les antivirus pour contrer une attaque. Si j'avais reçu un dollar à chaque fois qu'un antivirus n'a pas réussi à détecter un nouveau logiciel malveillant…

Et oui, la solution devrait également vous permettre de traquer ces éléments persistants une fois qu'Active Directory aura été restauré ; mais en réalité, c'est là aussi que l'expertise fait toute la différence. Assurez-vous de faire appel à un partenaire qui comprend vraiment comment Active Directory peut être attaqué. Si votre fournisseur s'est mis à s'intéresser à Active Directory hier seulement parce que la cyber-restauration d'Active Directory est la nouvelle tendance à proposer, vous aurez alors le « privilège » de subir ce manque d'expérience au moment où cela compte le plus — et ce n'est pas une bonne chose.


6. Enfin, et c'est important : tout comme la résilience identitaire est importante, la résilience de votre solution de résilience identitaire l'est tout autant.

Quand on est dans la merde (et les informaticiens savent très bien de quoi je parle), tout ce qui peut aller de travers ira de travers.

Avec toute l'équipe de direction qui vous met la pression, la dernière chose que vous avez envie de leur dire, c'est : « Désolé, une étape a échoué lors de notre restauration, nous devons donc tout recommencer. »

Votre solution de reprise après sinistre doit être capable de faire face aux aléas des catastrophes. Cette capacité découle de l'expérience : celle d'un fournisseur qui comprend les problèmes pouvant survenir lors d'une reprise et qui est parfaitement en mesure de vous aider à contourner les obstacles imprévus. Encore une fois, ce ne sont pas des événements que vous pouvez prévoir ; mais vous pouvez simuler ce genre de situation chaotique et mettre la solution à l'épreuve.

Si votre fournisseur n'est pas en mesure d'assurer la reprise après sinistre lors d'un test de validation, pensez-vous vraiment qu'il en sera capable lorsqu'une véritable cybercrise se produira ?


Prouvez que vous êtes prêt au moment où cela compte le plus

J'espère sincèrement que vous n'aurez jamais à restaurer votre domaine Active Directory en cas de crise.

Mais si vous avez opté pour une solution de résilience des identités qui répond à ces exigences, vous devriez être en mesure de vous remettre de l'incident en toute confiance, d'en minimiser l'impact sur votre activité, et même de tirer parti de cette expérience pour renforcer votre dispositif de sécurité des identités face à la prochaine menace.

C'est ça, la véritable résilience.


Pour en savoir plus