RSM Ebner Stolz s'attaque à Active Directory avec un bon exemple
Les entreprises qui conseillent d'autres organisations dans le cadre de la coopération professionnelle ordonnée doivent être convaincues qu'elles doivent tout faire dans les règles de l'art. En outre, les informations les plus pertinentes leur seront communiquées. Il s'agit également d'un accès optimal des travailleurs aux ressources de travail en réseau. La plupart du temps, c'est Microsoft Active Directory qui constitue l'interface centrale. Les conséquences d'une attaque de ce type sont souvent très lourdes, tant pour l'employeur que pour les mandataires. Il n'est pas surprenant que les personnes qui s'opposent à ce type d'attaque soient déjà considérées aujourd'hui comme un objectif primordial. Il existe donc de nombreuses possibilités qui permettent d'atteindre un niveau de qualité élevé.
RSM Ebner Stolz est une entreprise indépendante qui offre à ses clients un portefeuille complet de services dans les domaines de la représentation économique, de la gouvernance, du droit et de la gestion d'entreprise. Avec son siège à Stuttgart, RSM Ebner Stolz compte plus de 2 100 collaborateurs sur 14 sites dans toute l'Allemagne et a réalisé en 2022 un chiffre d'affaires d'environ 350 millions d'euros. Parmi les mandataires, on trouve des entrepreneurs des secteurs de l'industrie, du commerce et de la distribution de toutes les branches et de toutes les tailles, de l'entrepreneur individuel au grand groupe, l'accent étant mis sur le marché intermédiaire. Après avoir connu un succès retentissant en concentrant ses activités sur le territoire allemand, Ebner Stolz est désormais reconnu par le réseau international de conseil et d'assistance RSM, le plus important du secteur, et s'appuie sur les activités de ses mandataires, qui sont désormais mondiales. En Allemagne, l'entreprise occupe la sixième place parmi les sociétés de conseil et d'audit.
Il est évident que l'informatique interne de RSM Ebner Stolz joue un rôle important dans l'accomplissement de la continuité de l'entreprise. En outre, il faut veiller à ce que les collaborateurs des différents sites et, plus généralement, les clients, puissent toujours accéder rapidement aux ressources centrales souhaitées. L'entreprise compte ainsi plus de 80 collaborateurs, qui s'occupent de l'infrastructure et des applications à mettre en œuvre. Le centre de ressources central de Francfort et les petites unités de recherche déjà en place sont reliés à un réseau MPLS. Tous les collaborateurs, tant au bureau qu'à l'extérieur, sont équipés d'ordinateurs portables afin de pouvoir travailler de manière flexible avec des applications telles que DATEV ou d'autres applications spécifiques.
Une sécurité informatique optimale en alternance
Dans le cadre d'une structure d'accueil déjà bien établie, une équipe a été mise en place, qui s'occupe en particulier des questions de sécurité informatique. Outre le RSSI et le responsable de la sécurité de l'information, Ben Glenz a également mis en place un ingénieur en sécurité de l'information, dont l'action est axée sur la sécurité de l'information opérationnelle. Pour que cette tâche soit accomplie, il a fallu procéder, dès le début de l'année, à une analyse approfondie des processus en cours. "Il est dans la nature du problème que, dans une entreprise de longue date à forte croissance et aux activités très hétérogènes, il n'y ait pas de concept de sécurité unique à mettre en œuvre, alors qu'il ne s'agit que d'une volonté profonde de le réaliser", a déclaré M. Glenz. De nombreuses organisations sont aujourd'hui confrontées à des problèmes similaires, notamment lorsque l'acquisition d'une entreprise entraîne la création de nouvelles structures ou lorsque les tâches sont exécutées à distance.
Le point essentiel dans les infrastructures vertes, hétérogènes et gérées à distance est le contrôle des accès actuels à toutes les ressources, qu'il s'agisse de données ou d'applications. L'Active Directory étant l'instance centrale qui permet aux travailleurs, au niveau local, auprès de leurs clients ou dans leur bureau à domicile, une connexion simple et efficace, l'une des premières tâches de Ben Glenz dans son nouvel ouvrage a été d'améliorer le score de sécurité de l'Active Directory. Pour ce faire, il a utilisé l'outil d'analyse "Purple Knight", un outil communautaire développé par Semperis, qui permet d'analyser les configurations de l'Active-Directory sur les schémas et les défauts de configuration. Il contient environ 130 indicateurs de la conformité et de la compromission possible de l'AD, ainsi que des conseils sur la manière de réduire les risques.
"Ich kannte Purple Knight bereits aus früheren Tätigkeiten", erklärt Glenz. Une première analyse réalisée par RSM Ebner Stolz a montré que l'infrastructure répondait à toutes les exigences, mais qu'elle présentait un énorme potentiel de réduction des coûts. Les raisons de ce choix sont évidentes. "L'Active Directory lui-même a été créé il y a près de 25 ans et repose également sur les algorithmes de l'époque. C'est pourquoi les organisations hétérogènes se retrouvent souvent avec des éléments qui n'ont plus rien à voir avec les solutions actuelles ou qui ne bénéficient plus d'aucun soutien. "Nous avons aussi trouvé des systèmes de gestion des stocks comme Windows 7, qui ne peuvent plus bénéficier d'un service d'assistance. Ce qui fait que les utilisateurs se retrouvent naturellement avec Tür et Tor."
Processus de changement
Le score obtenu à l'aide du site Purple Knight a permis d'éviter que le processus de changement relatif à l'Active Directory ne soit compromis, même s'il ne s'agit pas d'un processus en cours. "Si l'Active Directory est compromis, c'est le processus de changement général qui s'applique", explique Glenz. L'équipe de sécurité a choisi d'installer deux produits : le Semperis Directory Services Protector (DSP) et le Active Directory Forest Recovery (ADFR). Ces deux produits peuvent être installés sans grande difficulté, sans que les utilisateurs ne soient impliqués dans cette installation.
Le site Directory Services Protector permet d'assurer le suivi continu de toutes les activités visées par l'AD et donne ainsi un aperçu de la situation actuelle en matière de sécurité. En outre, l'outil est conçu de manière à ce que les changements importants soient connus et que l'on puisse y remédier. En dépit du fait que 9 des 10 cybercriminels utilisent aujourd'hui l'Active Directory comme source d'information pour atteindre leur objectif final, DSP offre la possibilité de contrôler et d'éliminer la menace qui pèse sur les ressources essentielles de l'entreprise, et ce de manière efficace et globale. RSM Ebner Stolz s'est félicité de l'utilisation de la version hybride du site DSP, une solution ITDR qui permet aux utilisateurs d'accéder aussi bien à Active Directory qu'à Entra ID (ou Azure AD). "Même si de nombreuses activités au sein de l'entreprise sont menées sur la base de l'AD local, les processus seront massivement améliorés dans le cadre d'Azure", a déclaré M. Glenz à propos de la décision. "C'est à ce moment-là que les utilisateurs se débarrassent souvent de leurs systèmes locaux dans le nuage ou en les déplaçant. L'adoption d'une solution hybride permettrait de réduire de manière significative les risques d'attaques potentielles. Pour ce faire, DSP propose des conseils de gestion prioritaires, élaborés et mis en œuvre par les fournisseurs de services de sécurité d'AD.
La responsabilité de l'entreprise est engagée
La deuxième version de l'outil de vérification de la structure AD est Semperis ADFR, qui se trouve à l'adresse Active Directory Forest Recovery. Cet outil permet d'effectuer une vérification rapide et surtout exempte de logiciels malveillants de la structure du groupe AD après l'apparition d'un ransomware ou d'une attaque Wiper. L'exécution manuelle de la structure AD-Gesamts peut durer plusieurs jours, voire plusieurs semaines dans les cas les plus graves, et peut entraîner une nouvelle infection par un logiciel malveillant. Pour la plupart des entreprises ayant des problèmes économiques graves, cela s'est avéré nécessaire. ADFR réduit la durée de vie des produits en l'espace de quelques minutes ou de quelques secondes et les délais d'exécution de près de 90 %. Si, à l'aide de ADFR , l'Active Directory est maintenu en bon état par l'utilisation d'équipements d'installation sécurisés, l'apparition de logiciels malveillants sera compromise. L'élimination peut se faire sur n'importe quel matériel virtuel ou physique. Le système de détection est alors affaibli, ce qui permet d'éviter les erreurs de manipulation.
"Lorsque DSP est régulièrement utilisé, lorsque l'on cherche à modifier l'AD avec une plus grande efficacité, ADFR est l'outil ultime pour améliorer la fiabilité de l'informatique après une attaque", explique Glenz, qui est responsable de l'association des deux outils. "Nous avons effectué le rétablissement et sommes revenus en ligne au bout de 20 minutes. La sauvegarde des données de sauvegarde nécessaires dispose d'une capacité d'environ 300 Mo et ne nécessite qu'une clé USB, qui peut être vérifiée en toute sécurité. Le site ADFR offre également la possibilité d'effectuer une sauvegarde en ligne dans le nuage.
Avec l'utilisation des sites DSP et ADFR , RSM Ebner Stolz a mis au point les bases techniques de la protection de l'Active Directory, afin de permettre l'utilisation de ces outils avec des fonctions plus avancées, telles que les politiques en matière de mots de passe ou la gestion des droits d'accès des individus. Les outils offrent les libertés d'accès à la confidentialité prévues par la loi. "Les produits sont faciles à utiliser, mais je ne peux pas m'empêcher de les utiliser", explique Ben Glenz. "S'il y a quelque chose qui ne fonctionne pas, j'obtiendrai une compensation adéquate. Cela lui permet non seulement de mieux travailler, mais lui donne aussi le temps de s'occuper d'autres tâches plus importantes, explique-t-il. Dans le domaine de la sécurité des technologies de l'information, il n'y a rien de mieux que de l'argent.
