Lorsqu'une tempête frappe, celui qui est le mieux préparé est celui qui la traversera le mieux. Pour les services informatiques, cette tempête est numérique, une vague de cyberattaques qui touche régulièrement les rivages de Microsoft Active Directory (AD).
AD est une cible juteuse, et nous savons tous pourquoi. C'est la clé qui permet à un attaquant d'élever ses privilèges, et l'impact d'une panne peut être catastrophique. Par le passé, la plus grande menace pour AD aurait pu être une catastrophe naturelle ou une erreur opérationnelle. Aujourd'hui, c'est le nombre croissant de cyberattaques à évolution rapide qui pose une question cruciale : dans quelle mesure les organisations sont-elles prêtes à se rétablir si leurs contrôleurs de domaine sont infectés par un ransomware ou complètement détruits ?
Pour le savoir, nous avons interrogé plus de 350 professionnels de la sécurité informatique, responsables IAM et cadres dirigeants. Dans notre étude 2020 "Récupération d'Active Directory en cas de cyber-catastrophe nous avons découvert que si les entreprises sont conscientes des risques, leurs processus de récupération sont à la traîne. Même si 97 % des organisations interrogées déclarent que l'Active Directory est essentiel à leur mission, plus de la moitié d'entre elles n'ont jamais testé leur processus de reprise après sinistre ou n'ont pas du tout mis en place de plan à cet effet.
Voici nos principales conclusions :
- Les entreprises sont conscientes qu'une interruption d'AD aurait un impact significatif sur leurs activités.. Presque toutes les personnes interrogées (97 %) ont déclaré que le système de gestion des données est essentiel à la mission de l'entreprise, et 84 % ont déclaré qu'une panne de système de gestion des données serait importante, grave ou catastrophique.
- De nombreuses organisations ne sont pas confiantes dans leur capacité à récupérer AD rapidement. La plupart des personnes interrogées (71 %) sont assez confiantes, peu confiantes ou incertaines quant à leur capacité à restaurer AD sur de nouveaux serveurs en temps voulu. Seule une infime partie (3 %) s'est déclarée "extrêmement confiante".
- La plupart des entreprises n'ont pas testé leur plan de reprise d'activité. Les personnes interrogées ont exprimé de nombreuses préoccupations au sujet de la restauration AD, l'absence de tests étant la principale préoccupation. Cela inclut les organisations qui n'ont pas du tout testé la restauration AD et celles qui ont essayé mais qui ont échoué.
Enquête respondants ranque "Absence de tests" comme top concernant followowed by "Absence de plan de redressement"
Aussi critique qu'Active Directory est essentiel pour les entreprises, celles-ci ont du mal à le gérer de manière sécurisée tout en adoptant le cloud computing et le travail à distance. La complexité croissante des environnements informatiques a augmenté la complexité de la gestion d'AD, et l'effet d'entraînement de cette réalité a un impact direct sur la réponse aux incidents. Seulement 34% des personnes interrogées ont déclaré que leur organisation comprenait la complexité de la récupération des forêts. Bien que ce chiffre soit faible, il n'est pas surprenant. Dans un long guide technique, Microsoft énumère les 28 étapes du processus manuel multithread requis pour effectuer une restauration de forêt, et ce processus est essentiellement manuel. Pire encore, il n'y a aucun moyen de savoir si une erreur a été commise jusqu'à la fin - et il faut alors tout recommencer.
Les tests sont naturellement un élément essentiel pour éviter les erreurs. Cependant, les organisations échouent également dans ce domaine. Selon l'enquête, 33 % des entreprises - le groupe le plus important - déclarent disposer d'un plan de reprise après sinistre AD, mais ne l'ont jamais testé. Vingt-et-un pour cent n'ont aucun plan, et seulement 15% ont déclaré avoir un plan et l'avoir testé au cours des six derniers mois. Sans évaluation régulière, les processus de reprise peuvent disposer d'informations obsolètes sur la topologie AD, ce qui peut entraver les délais de reprise en cas d'incident.
Il est facile de comprendre pourquoi ces plans ne sont pas testés. Le rétablissement d'AD n'est généralement pas un exercice simple, et un manque d'automatisation peut rendre le processus lourd et source d'erreurs.-d'erreurs. En outre, historiquement, il était peu probable de devoir récupérer un déploiement AD à partir de zéro. Cependant, si l'on considère que les les cyberattaques causent plus de dégâts et frappent plus fréquemment que les catastrophes naturelles, il est temps de penser "cyber-premier". Votre manuel de reprise après sinistre tient-il compte de cette réalité ?
Focus sur la sécurité AD et la stratégie de récupération
La bonne nouvelle, c'est que la plupart des personnes interrogées sont conscientes de l'importance d'Active Directory pour leur entreprise. Quatre-vingt-quatre pour cent des personnes interrogées ont déclaré qu'elles subiraient un impact significatif, grave ou catastrophique en cas de panne d'Active Directory. La première priorité doit donc être de faire d'AD une cible plus difficile. Réduisez la surface d'attaque en appliquant les meilleures pratiques telles que la mise en œuvre d'une surveillance continue, l'utilisation d'un modèle administratif à plusieurs niveaux et l'application rapide des correctifs.
Lorsqu'il s'agit de se préparer à un scénario impliquant la récupération d'une partition ou d'une forêt, les plans doivent être extrêmement détaillés, jusqu'aux commandes individuelles qui seront exécutées sur une machine particulière. Le stress lié à une attaque est déjà assez important. Dans notre enquête, la grande majorité des personnes interrogées (69%) ont déclaré être de plus en plus préoccupés par l'impact qu'une cyberattaque pourrait avoir sur leur carrière. La mise en place de plans détaillés rendra les suites d'une attaque moins stressantes en en éliminant l'incertitude et en éliminant l'incertitude et en réduisant la nécessité de réfléchir à la volée.
Dans le cadre de de De même, le fait de s'habituer au plan de récupération par la pratique constitue une une différence. Les organisations devraient créer un environnement de test sur des hôtes virtuels et tenter de récupérer des forêts AD à partir de sauvegardes. En augmentant le niveau d'aisance avec le plan de reprise, on augmente les chances qu'il se déroule sans problème s'il doit être utilisé un jourNous pourrons ainsi mieux dormir la nuit.
Que l'on soit prêt ou non, le paysage des menaces qui pèsent sur l'AD évolue rapidement. L'attention portée à la protection d'AD et à la récupération après une cyberattaque doit évoluer avec elle. Pour obtenir un aperçu complet des résultats de l'enquête, téléchargez le rapport ici.
