Les cyberattaques évoluent rapidement en sophistication et en ampleur. La frontière entre le monde numérique et le monde physique est devenue plus floue. Des cyberattaquants étrangers ont utilisé des logiciels malveillants destructeurs pour effacer les données des disques durs et ont tenté d'infiltrer des systèmes industriels. Ils pourraient prendre des mesures tout aussi préjudiciables à l'avenir, compte tenu des événements politiques récents et des menaces verbales.
Toute personne chargée de la cyberpréparation d'une organisation se trouve actuellement dans une situation délicate. L'adage "la meilleure défense est une bonne attaque" ne s'applique pas ici. Dans ce cas, la meilleure défense est une bonne défense.
En pratique, vous devez disposer d'un plan de réponse aux incidents (RI) et d'un plan de continuité des activités (PCA) prêts à l'emploi et testés. Vous devez aller au-delà de l'identification des risques - en essayant de vous en protéger par des méthodes telles que l'authentification multifactorielle et de les détecter à l'aide d'analyseurs de virus et de systèmes SIEM - et y répondre. Vous devez suivre le processus de bout en bout et réfléchir à l'avance à la manière dont vous allez vous rétablir.
Les services d'identité sont au cœur de la plupart des cibles des menaces persistantes avancées (APT). Sachant cela, il est judicieux de tester son PCA et son plan de reprise après sinistre (PRA) tous les 13 mois, au minimum. La raison pour laquelle davantage de personnes ne le font pas est qu'il s'agit d'une tâche banale et qu'il est difficile de la réaliser correctement. Effectuer un test de restauration sur l'environnement de production n'est pas une option, et tester un environnement vanille n'est que partiellement utile. L'approche la plus efficace consiste à prendre une sauvegarde de l'environnement de production et à le restaurer dans un laboratoire isolé.
Nous disons à nos clients que la meilleure façon de tester leurs plans de PCA et de PRD est de mettre en correspondance les processus organisationnels critiques avec les applications qui les supportent et, en fin de compte, avec l'infrastructure qui supporte ces applications. Il n'y a pas deux organisations identiques, et pour certaines d'entre elles, la restauration du siège social peut être la priorité absolue, suivie de celle des succursales (un scénario courant pour les institutions financières), alors que pour d'autres, ce sera l'inverse (un scénario courant pour les entreprises manufacturières).
Décider d'avoir le même accord de niveau de service (SLA) pour toute votre infrastructure est la décision la plus facile à prendre, mais dans la plupart des cas, cela signifie que les applications critiques seront dans la même file d'attente que les applications non critiques. Dans la plupart des entreprises, cela signifie que tous les chemins mènent à AD. Malgré cela, nous avons constaté que la planification de la reprise d'AD est souvent négligée, alors qu'il s'agit de l'un des composants les plus critiques de toute approche de la reprise d'activité basée sur la cybersécurité.
La reprise après sinistre d'AD est un processus ardu. Il a fallu neuf jours à l'entreprise danoise Maersk pour récupérer son AD après l'attaque du logiciel malveillant NotPetya en 2017. Selon Andy Powell, RSSI de Maersk, environ 55 000 appareils du réseau mondial de Maersk ont été entièrement infectés en sept minutes.
En cas de cyber-catastrophe, AD est un élément essentiel, car il est indispensable à la récupération de tous les autres éléments du réseau. Tant que vous n'avez pas récupéré votre système d'AD, vous ne pouvez pas faire grand-chose de plus. Se contenter d'arrêter les systèmes dès le début d'une attaque ne fonctionne pas. Vous devez comprendre les vecteurs d'attaque probables et les points faibles potentiels et supposer que même vos serveurs AD de secours peuvent être compromis.
Andy Powell conseille de s'assurer que l'on peut récupérer l'AD en moins de 24 heures. D'où la question suivante : quand avez-vous testé votre plan de reprise d'activité AD pour la dernière fois ? Quand avez-vous testé pour la dernière fois votre plan de reprise d'activité ? Tout aussi important, votre plan de reprise AD a-t-il été mis à jour pour inclure des cyber-scénarios tels qu'une attaque par ransomware ou wiper ?
En conclusion, il faut parfois une menace imminente pour que les entreprises prennent plus au sérieux leurs plans fondamentaux de détection et de réponse aux menaces. C'est le moment d'essayer de prendre de l'avance en comblant les lacunes de vos plans de continuité des activités et de réduction des risques en recherchant les maillons les plus faibles, à commencer par votre infrastructure AD et les applications qui en dépendent.
Professionnels de la sécurité AD, c'est le moment de briller. AD n'est pas seulement aussi critique que les autres couches de toute stratégie de sécurité - de nos jours, nous dirions qu'il l'est encore plus. C'est votre défi et votre responsabilité de convaincre le reste de votre équipe qu'AD doit être au centre de votre plan de défense.
