- Améliorer la protection de l'identité grâce à la visibilité de la posture de sécurité
- Réduire les risques grâce à une protection proactive de l'identité
- Gestion confiante de la posture de sécurité
- Note de bas de page
Alors que les cyberattaques contre le secteur public continuent d'augmenter, la protection de l'infrastructure d'identité, cible privilégiée des pirates, est devenue une nécessité absolue. Pour la plupart des organisations, cela implique de renforcer la résilience de Microsoft Active Directory (AD).
Pour la ville de Whitby, en Ontario (Canada), cela signifiait investir dans une solution capable de lui fournir des informations plus détaillées sur la sécurité et la configuration de son environnement AD.
Le système d'identité est le tissu qui relie les utilisateurs aux services, et toute perturbation empêchant les utilisateurs d'accéder aux ressources entrave le fonctionnement de la ville. Le rétablissement de ces opérations pour la communauté d'environ 150 000 habitants entraînerait des coûts importants en termes de temps et d'argent.
Améliorer la protection de l'identité grâce à la visibilité de la posture de sécurité
Tout comme dans le secteur privé, les organismes gouvernementaux ne sont pas à l'abri des attaques par ransomware. Les pirates qui exploitent les erreurs de configuration d'Active Directory peuvent rapidement étendre leurs privilèges et renforcer leur emprise, souvent en restant à l'affût, prêts à frapper quand bon leur semble.
En 2022, St. Marys, également dans la province de l'Ontario, a subi uneattaque par ransomware1 qui a perturbé les services locaux. Le bilan de cette attaque, qui a coûté des millions à St. Marys, aurait été bien pire si la ville n'avait pas déjà prévu un programme d'amélioration de la cybersécurité. Cette expérience sert d'exemple à d'autres municipalités, quelle que soit leur taille.
Rob Brodofske, directeur principal des services d'infrastructure et de sécurité pour Whitby, prend ces leçons très au sérieux. Il est chargé d'élaborer la planification stratégique nécessaire pour répondre aux exigences en matière de réseau et de sécurité dont l'infrastructure technologique de Whitby a besoin pour fournir des services aux habitants de la ville. Il est responsable de l'équipe chargée de l'infrastructure technologique et fait partie du département des services technologiques et d'innovation, qui compte environ 40 personnes.
« Je sais à quel point Active Directory est important pour mon organisation, et bien que je dispose de nombreux outils, j'avais le sentiment qu'il y avait une lacune dans la manière dont il pouvait être sécurisé », explique M. Brodofske. « Plus précisément, je ne disposais d'aucune méthode pour mettre en lumière les vulnérabilités ou les risques potentiels liés à l'identité au sein de mon infrastructure. Je voulais un outil capable d'analyser en profondeur Active Directory et de me donner la confiance que je recherchais dans nos contrôles et notre configuration. »
« Je ne disposais d'aucune méthode pour mettre en lumière les vulnérabilités ou les risques potentiels liés à l'identité au sein de mon infrastructure. Je recherchais un outil capable d'analyser en profondeur Active Directory et de me donner l'assurance que je recherchais dans nos contrôles et notre configuration. »
Rob Brodofske, directeur principal des services d'infrastructure et de sécurité, ville de Whitby
Avant de se tourner vers Semperis, l'équipe était capable d'effectuer la surveillance des journaux, mais ne disposait d'aucun outil capable d'offrir une visibilité approfondie sur AD ou de détecter rapidement les vulnérabilités et les erreurs de configuration, a-t-il expliqué. L'un de ses architectes de sécurité a exécuté outil Purple Knight , et Brodofske a été impressionné par les informations qu'il a recueillies et la manière dont elles ont été présentées. Il a immédiatement pu voir un aperçu des vulnérabilités et des erreurs de configuration de l'AD, ainsi que des recommandations pour les atténuer.
« À ma connaissance, rien de tel n'existait à l'époque, alors j'ai voulu en savoir plus », explique M. Bodofske. Lors d'un événement consacré à la cybersécurité, il a rencontré des représentants de Semperis et en a appris davantage sur les produits de l'entreprise.
Réduire les risques grâce à une protection proactive de l'identité
Le service informatique a adopté Directory Services Protector DSP), qui surveille en permanence AD à la recherche d'indicateurs d'exposition et de compromission. Cette initiative a permis à l'équipe de Brodofske de rechercher de manière proactive les risques potentiels et de les corriger avant qu'ils ne puissent être compromis.
« Si vous ne vérifiez pas régulièrement la santé et la sécurité de votre Active Directory, je pense qu'il est impératif que vous preniez le temps de le faire et que vous fassiez tout votre possible pour sécuriser et protéger ce système vital », a-t-il déclaré. « Je pense que tout le monde se concentre un peu plus sur la périphérie et, de temps en temps, nous oublions Active Directory. Mais si vous perdez Active Directory, et que vous en dépendez, vous allez tout perdre. »
Le déploiement DSP sans difficulté, a-t-il déclaré. Lorsque des questions se posaient, l'équipe d'assistance Semperis était là pour nous aider, a-t-il ajouté. Après quelques sessions de 90 minutes pour aider son équipe à mettre en place les fonctionnalités de reporting, d'analyse et Azure, la mise en œuvre s'est déroulée sans encombre.
L'un des principaux domaines dans lesquels l'organisation a tiré parti du DSP sa capacité à capturer des preuves des modifications, même si la journalisation de sécurité est désactivée, et à permettre aux organisations d'annuler les modifications malveillantes apportées à l'AD sur site.
Selon Brodofske, « la possibilité de détecter et d'annuler immédiatement ces modifications était vraiment très intéressante pour nous. Et cela fonctionne si bien que, parfois, mes collaborateurs en oublient l'existence. Lorsqu'ils effectuent une modification, DSP la DSP et l'annule. Ils doivent donc penser à activer ces modifications au préalable. »
« La possibilité de détecter et d'annuler immédiatement ces modifications était sans aucun doute très intéressante pour nous. Et cela fonctionne si bien que, parfois, mes collaborateurs en oublient presque l'existence. Lorsqu'ils effectuent une modification, DSP la DSP et l'annule. Ils doivent donc penser à activer ces modifications au préalable. »
Rob Brodofske
Tout comme les vulnérabilités non corrigées, les configurations non sécurisées causées par des erreurs humaines ou des dérives de configuration peuvent ouvrir la porte aux pirates et entraîner des violations de la conformité réglementaire. Bien que l'environnement AD de Whitby ne comprenne qu'une seule forêt, il est parfaitement conscient que la restructuration organisationnelle peut compromettre le bon fonctionnement de l'AD, même dans les environnements de petite taille. Au fil du temps, la réorganisation a rendu l'environnement AD de la ville « un peu désordonné » de ce point de vue, a-t-il admis.
Gestion confiante de la posture de sécurité
M. Brodofske a déclaré qu'il cherchait à rendre l'environnement AD hybride de Whitby plus résistant aux changements risqués, d'autant plus que de plus en plus de services migrent vers le cloud. À mesure que des modifications sont apportées à l'environnement, l'utilisation DSP permis à l'équipe de M. Brodofske d'atténuer les risques, de corriger les erreurs, de restaurer certains objets et de rétablir les services plus rapidement.
Il est important de noter que l'utilisation de la technologie Semperis lui a donné davantage confiance dans la capacité de la ville à relever les défis futurs.
« Je me connecte DSP fois par semaine DSP pour rechercher de nouveaux indicateurs d'exposition, surveiller mon score, puis prendre les mesures qui s'imposent », explique-t-il. « À Whitby, nous sommes une équipe très soucieuse de la sécurité, et si je peux agir, je veux que des mesures soient prises. Il n'y a aucune raison de laisser traîner les choses, n'est-ce pas ?
« Je suis beaucoup plus confiant, car je peux désormais voir des choses que je ne voyais pas auparavant. »
Consultez le blog de Semperis pour en savoir plus sur la gestion des surfaces d'attaque liées à l'identité. Pour obtenir de l'aide afin de sécuriser votre infrastructure d'identité, planifiez une démonstration personnalisée avec nous.
Note de bas de page
