Guido Grillenmeier

L'identité est le nouveau périmètre de sécurité. Toute faille dans ce périmètre peut permettre à des utilisateurs malveillants d'accéder à vos applications, à vos données et à vos opérations commerciales. Pour les organisations qui s'appuient sur Azure Active Directory ou sur un environnement hybride composé d'Azure AD et d'Active Directory sur site pour fournir des services d'identité, la sécurisation de l'identité hybride peut s'avérer une tâche complexe et fastidieuse. Pourtant, il s'agit d'une tâche absolument vitale.

Les environnements hybrides, en particulier, sont sujets aux erreurs et aux mauvaises configurations qui laissent la porte grande ouverte aux cyberattaques. Et en compromettant votre Active Directory sur site, les attaquants peuvent étendre leur sale besogne à Azure AD ou vice versa. L'attaque de SolarWinds est un excellent exemple de ce type de stratégie.

Les défis liés à la sécurisation des identités hybrides sont très différents de ceux rencontrés dans les environnements purement sur site. Si votre infrastructure inclut Azure AD - et si votre organisation utilise Microsoft Office 365, c'est le cas - voici les principaux problèmes à éviter.

Attaques latérales à partir d'AD sur site

Les cybercriminels ont souvent recours au phishing et à l'ingénierie sociale pour cibler les utilisateurs vulnérables et les inciter à divulguer des informations sensibles, notamment des données d'identification. Les attaques SolarWinds et Colonial Pipeline illustrent ce risque. Les auteurs de ces cyberattaques ont pris le contrôle d'AD sur site, ont compromis la fédération ADFS pour falsifier les jetons SAML et ont accédé à Azure AD.

Ce que vous pouvez faire pour contrecarrer les attaquants lors de la sécurisation de l'identité hybride

Tout d'abord, et c'est le plus évident, il faut appliquer l'AMF. Les informations d'identification volées sont l'un des outils les plus dangereux des cyberattaquants, et l'utilisation de ces informations peut passer inaperçue pendant de longues périodes. Tous les systèmes de surveillance ne signalent pas les activités inhabituelles sur les comptes, d'où l'importance de cette couche de protection supplémentaire.

Deuxièmement, il faut comprendre que la gestion moderne des identités hybrides nécessite des contrôles de sécurité supplémentaires au-delà de ceux disponibles dans un déploiement ADFS traditionnel. Le maintien de l'infrastructure nécessaire pour héberger l'ADFS comporte ses propres risques, notamment des correctifs non appliqués, du matériel obsolète, etc.

Il est préférable d'envisager l'authentification AD Pass-through, qui permet d'utiliser le même mot de passe pour se connecter aux applications sur site et dans le nuage. Cette approche utilise un modèle de connexion sortant uniquement et une authentification basée sur des certificats pour déléguer le processus d'authentification à l'Active Directory sur site, ce qui constitue une alternative plus sûre à l'ADFS. Vous pouvez également intégrer l'authentification AD Pass-through à d'autres mesures de sécurité Azure AD pour vous prémunir contre les infiltrations et les vols d'informations d'identification. Enfin, vous pouvez synchroniser les hachages de mots de passe AD avec Azure AD.

Vous pouvez également envisager Azure AD Application Proxy, qui utilise les informations d'identification Azure AD pour configurer un accès distant sécurisé aux applications hébergées sur site et offre la même expérience utilisateur que n'importe quelle application intégrée à Azure AD.

Fuite de la configuration et complexité

La protection des identités hybrides complique votre travail, que vous soyez un administrateur AD, un spécialiste des identités ou un expert en sécurité. Les menaces évoluent en permanence et le verrouillage de l'accès à vos ressources de niveau 0, y compris AD et Azure AD, est une tâche qui prend beaucoup de temps. Mais si vous la négligez, vous risquez de passer ce temps à vous démener pour récupérer AD à la suite d'une cyberattaque.

L'utilisation d'Azure AD pour l'authentification d'applications tierces ajoute de la complexité au modèle de sécurité. Dans certains cas, ces applications peuvent lire et stocker des données provenant d'Azure AD, ce qui étend votre périmètre de risque et rend la sécurité des données dépendante de l'application tierce avec laquelle Azure AD s'intègre.

Un autre point faible possible est le niveau des autorisations accordées aux applications dans Azure AD. Si vous n'examinez pas attentivement les paramètres d'autorisation avant d'accorder l'accès, ces applications peuvent se retrouver avec plus d'autorisations dans Azure AD qu'elles n'en ont besoin. Cet oubli potentiel augmente le risque que les applications apportent des modifications au locataire AD.

De plus, les mesures de sécurité telles que l'AMF peuvent ne pas fonctionner pour certaines applications, ce qui les rend dépendantes des contrôles de sécurité que l'application peut fournir.

Ce que vous pouvez faire pour resserrer l'accès

Cette faille de sécurité potentielle nécessite une gouvernance stricte et des audits périodiques des autorisations d'applications afin de comprendre où mettre en œuvre des restrictions supplémentaires. Réglez tous les détails et assurez-vous que vous avez le bon ensemble de rôles activés dans Azure AD, vérifiez les paramètres de permission des applications et renforcez les configurations de sécurité des applications, et ajoutez des garde-fous tels que le MFA.

Évaluez également la façon dont vous gérez le RBAC. L'attribution des rôles dans Azure AD diffère de la gestion traditionnelle des accès AD. Il convient donc d'examiner attentivement la manière dont les rôles sont définis et les autorisations accordées.

Il est important de suivre le principe du moindre privilège lors de la sécurisation de l'identité hybride. N'ajoutez pas les comptes que vous avez synchronisés d'AD sur site à Azure AD dans un rôle RBAC privilégié tel que Administrateurs globaux. Réservez ces rôles hautement privilégiés aux comptes Azure AD natifs. Vous pouvez également créer des unités administratives dans votre locataire Azure AD. Cette fonctionnalité vous permet de restreindre les objets que les membres de l'équipe informatique peuvent gérer par le biais d'un rôle RBAC spécifique, ce qui renforce encore la notion de moindre privilège.

Mauvaises configurations et autres vulnérabilités en matière de sécurité

Les mauvaises configurations et les failles de sécurité associées à votre solution de gestion des identités offrent des points d'accès aux cyber-attaquants. Azure AD consiste en des services gérés ; Microsoft gère la sécurité de son infrastructure sous-jacente dans le nuage. Mais la sécurité de vos données et de la configuration d'Azure AD relève de votre responsabilité.

Lors d'une cyberattaque, les attaquants peuvent modifier ou supprimer des utilisateurs, des groupes, des rôles, des politiques d'accès conditionnel, etc. Si vous ne disposez pas d'un plan de reprise adéquat, vous risquez d'être confronté à des conséquences dévastatrices et durables. Il existe peu de contrôles natifs pour protéger les données ou les configurations dans Azure AD contre l'écrasement lors d'une attaque.

Ce que vous pouvez faire pour rendre la sécurisation de l'identité hybride moins compliquée

La corbeille Azure AD offre une fonction de suppression douce qui peut vous aider à restaurer les utilisateurs supprimés. Toutefois, cette fonction ne permet pas de restaurer quoi que ce soit au-delà d'une fenêtre de 30 jours.

D'autres formes de compromission peuvent être difficiles à détecter et à atténuer, en particulier si les attaquants se déplacent latéralement d'AD sur site vers le cloud. En plus des mesures de sécurité naturelles, les responsables informatiques devraient explorer des outils dotés de capacités avancées pour vous aider à suivre les attaques qui pourraient s'étendre latéralement dans les environnements hybrides. Les fonctions de suivi des changements et d'auto-remédiation peuvent protéger contre les identifiants volés et les initiés malveillants. Enfin, il convient de toujours disposer d'un plan de reprise proactif et testé pour Active Directory et Azure AD.

En savoir plus

Pour plus d'informations sur la sécurisation de l'identité hybride, consultez ces ressources.