Sean Deuby

Chaque responsable ou administrateur informatique sait qu'un plan de reprise d'Active Directory solide est un élément essentiel de toute stratégie de continuité des activités, mais le calcul du retour sur investissement (ROI) d'un plan de reprise d'Active Directory optimisé est notoirement délicat. Trop de variables entrent en jeu pour que l'on puisse effectuer un calcul exact et défendable. Et pour fixer les attentes dès le départ : Je ne proposerai pas ici de calculateur interactif de retour sur investissement.

Je vais plutôt vous présenter quelques moyens pratiques de rentabiliser votre investissement en assurant une reprise AD adéquate, en vous permettant de faire vos propres calculs et d'arriver à vos propres conclusions. La perte d'un contrôleur de domaine est un problème en soi, mais examinons un autre scénario de plus en plus courant qui a des conséquences catastrophiques : une attaque par ransomware qui détruit tous les contrôleurs de domaine sur tous les sites de l'entreprise. Dans cette situation, la récupération d'AD peut s'avérer un véritable défi.

L'année dernière, nous avons évoqué des dizaines d'attaques par ransomware dans lesquelles les cybercriminels ont modifié AD d'une manière ou d'une autre - bien au-delà des modifications de base des comptes utilisateurs ou des mots de passe - pour s'introduire dans les systèmes d'information et se déplacer latéralement afin de propager les logiciels malveillants. Les architectes de ransomwares disposent désormais d'ingénieurs qui dissèquent AD et ses mises à jour de sécurité à la recherche d'opportunités pour élever les permissions et distribuer rapidement des logiciels malveillants dans l'ensemble de l'organisation. Les expertises post-attaque des précédentes attaques de ransomware impliquant AD ont révélé que les acteurs de la menace se concentrent principalement sur les changements apportés aux comptes de groupe, aux comptes d'utilisateur, aux objets de stratégie de groupe, au SYSVOL et aux contrôleurs de domaine.

En gardant à l'esprit ces tactiques cybercriminelles, tenez compte des facteurs suivants pour calculer votre propre retour sur investissement en matière de récupération d'AD :

  • Coût des pertes opérationnelles : Il est probable qu'une partie importante de vos activités repose sur le fonctionnement d'AD pour authentifier les utilisateurs et leur donner accès aux applications, aux systèmes et aux données. Pour chaque heure pendant laquelle AD ne peut pas fonctionner, combien de revenus ou de productivité votre entreprise perdrait-elle ? Combien d'heures, de jours ou de semaines faudra-t-il avant que l'entreprise ne franchisse un point de non-retour et ne puisse plus se rétablir financièrement ? Souvenez-vous de l'attaque par ransomware contre la ville de Baltimore. La reprise des activités a pris des mois et a coûté plus de 18 millions de dollars.
  • Absence de plan de continuité des activités incluant la DA : si votre organisation est suffisamment mature, vous avez mis en place un plan de continuité des activités/DR définissant le travail nécessaire pour restaurer les activités de l'entreprise après une panne. La plupart des plans tiennent compte de la perte d'une infrastructure ou d'un site après une catastrophe naturelle. Mais peu d'entreprises disposent d'un plan spécifique pour la reprise des activités après une cyberattaque, en particulier une attaque aussi imprévisible qu'un ransomware. La façon dont vous récupérez AD dans un tel scénario dépend des modifications que les cybercriminels ont apportées à AD. Vous pouvez envisager de restaurer AD à partir d'une version antérieure, mais comment déterminer jusqu'où vous devez remonter pour trouver une version sécurisée connue ? Quels systèmes, services et applications dépendant d'AD seront affectés ou ne fonctionneront pas du tout en raison d'une restauration générale vers un état antérieur d'AD ? Êtes-vous sûr de pouvoir localiser une sauvegarde récente et exempte de logiciels malveillants à partir de laquelle vous pourrez effectuer la restauration ? En l'absence de plan ou de capacité à comprendre ce qui a été modifié dans AD avant la restauration, votre organisation passera un temps incalculable à résoudre tous les problèmes causés par la restauration.
  • La récupération n'est peut-être pas la solution : Si toutes les modifications apportées par les malfaiteurs au cours d'une attaque se résument, par exemple, à l'ajout d'un compte au groupe Domain Admins, la récupération d'AD à quelques jours ou au mois dernier n'est peut-être pas la bonne solution. Au lieu de cela, la méthode la moins coûteuse consiste peut-être à surveiller les modifications apportées à AD et à pouvoir interdire les modifications apportées aux comptes "protégés" (comme le groupe des administrateurs de domaine) ou à ramener automatiquement une modification à une configuration approuvée.

Les considérations ci-dessus se résument à trois risques : le risque d'une reprise lente, le risque d'une reprise qui génère davantage de travail de remédiation et le risque d'une reprise qui pourrait être considérée comme excessive par rapport à la nature des changements apportés à AD.

Une approche différente pour calculer le retour sur investissement de la récupération de la DA

Au lieu de calculer le retour sur investissement de la restauration AD à l'aide d'une calculatrice trouvée en ligne, il est préférable d'étudier plusieurs scénarios réels et d'évaluer les résultats de vos moyens actuels de restauration AD en répondant aux questions suivantes sur la base des facteurs décrits ci-dessus :

  • Quelles sont les parties critiques de l'opération dont le fonctionnement dépend d'AD ? Quel est le coût estimé de leur immobilisation ?
  • Combien de temps faudra-t-il pour rétablir l'AD en fonction des modifications apportées lors d'une attaque ?
  • Avez-vous une visibilité sur les modifications malveillantes apportées à AD et, si ce n'est pas le cas, jusqu'où devrez-vous remonter pour enquêter et combien de temps cela vous prendra-t-il ?
  • La reprise aura-t-elle un impact sur d'autres parties des opérations que vous devrez réparer et, dans l'affirmative, combien de temps cela prendra-t-il ? (N'oubliez pas qu'un certain nombre de mots de passe de comptes d'utilisateurs et d'ordinateurs ne correspondront pas, ce qui empêchera de se connecter au domaine. En outre, il se peut que des comptes, des appartenances à des groupes, des enregistrements DNS, etc. manquent dans les versions antérieures).
  • Êtes-vous sûr que la reprise vous mettra dans un état de sécurité connu ? Attention à la différence entre la reprise des activités et le rétablissement des activités : Si vous ne disposez pas d'une sauvegarde propre et exempte de logiciels malveillants, vous risquez de réintroduire les mêmes vulnérabilités que celles qui vous ont rendu vulnérable aux attaques.

En bref, le retour sur investissement de la restauration AD est bien plus lié à votre capacité actuelle à retrouver un état productif et sécurisé après une attaque qu'à un calculateur de retour sur investissement en ligne qui ne tient pas compte de la myriade de variables impliquées dans une attaque de ransomware. (Mais si vous voulez voir un calculateur de retour sur investissement en action, jetez un coup d'œil à ce calculateur de temps d'indisponibilité AD d'Itergy). En examinant certains scénarios et en réfléchissant spécifiquement à vos capacités de récupération actuelles, vous découvrirez des coûts qui peuvent être éliminés en mettant en place une solution de récupération AD appropriée, conçue pour protéger contre les modifications malveillantes apportées à AD, les prévenir et les récupérer.

Quelques anecdotes sur le terrain :

Semperis offre une reprise après sinistre de premier ordre pour Active Directory. Voici quelques-uns des résultats obtenus par nos clients après avoir déployé Semperis Active Directory Forest Recovery:

  • La compagnie aérienne israélienne El Al a déployé Semperis ADFR et a réduit de 24 à 2 heures le temps nécessaire à la reconstitution complète des forêts.
  • Un détaillant mondial comptant 2,2 millions d'utilisateurs et 500 DC est passé de sa solution existante à Semperis ADFR et a réduit le temps de récupération d'une forêt AD de 6 jours à 6 heures.
  • Une entreprise de soins de santé disposant d'un DIT de 65 Go a réduit le temps de récupération de la forêt AD de 1,5 jour avec sa solution existante à moins de 4 heures avec Semperis ADFR.

"Nous avons protégé 3 forêts avec ADFR. Nos restaurations de test sont fiables et je suis convaincu que nous pourrions restaurer entièrement nos forêts AD en peu de temps à l'aide de l'option de restauration complète de la forêt."

Voir l'avis complet sur Gartner Peer Insights

Vous souhaitez en savoir plus ? Consultez les ressources suivantes de notre équipe d'experts AD pour plus d'informations sur la mise en place d'un plan de reprise AD complet.