L'université de Stuttgart est au cœur d'un vaste écosystème de recherche dans une région économiquement forte. Environ 23 000 étudiants dans une variété de disciplines sont soutenus par près de 5 700 employés, tous dédiés à la création d'excellentes conditions pour les chercheurs et les étudiants. Cela inclut une infrastructure numérique qui garantit un accès aisé à des ressources complètes, à condition que les autorisations nécessaires soient en place.
La gestion du matériel et des services complets relève de la responsabilité du département des services techniques d'information et de communication, qui fait partie du Centre d'information et de communication de l'université. L'équipe des services d'administration centrale du département assure le support des serveurs de fichiers et d'impression sur le lieu de travail central, ainsi que la gestion des périphériques et des correctifs. En outre, cette équipe prend en charge les applications spécialisées, notamment la gestion des documents et l'administration du personnel.
L'équipe des services d'administration centrale est également responsable de la maintenance de l'Active Directory, qui permet aux employés et aux étudiants d'accéder aux ressources dont ils ont besoin.
"Nous sommes responsables de la sécurité et du fonctionnement d'Active Directory dans le cadre de la gestion des identités", explique Mike Holz, responsable des services d'administration centrale.
Sécuriser le cœur d'Active Directory
En raison de l'importance, de la sensibilité et de la valeur mondiale potentielle des résultats de la recherche de l'université, la sécurité de l'accès est soumise à la plus grande attention. L'environnement particulier dans lequel un grand nombre d'étudiants disposant d'appareils privés doivent avoir accès au réseau de l'université par l'intermédiaire d'un VPN doit être pris en compte. Les fluctuations constantes du nombre d'utilisateurs posent également un défi pour le réapprovisionnement des droits. Par conséquent, les systèmes informatiques et de gestion du personnel doivent être étroitement intégrés.
"Bien entendu, nous surveillons en permanence la situation actuelle en matière de sécurité, en accordant une attention particulière aux infrastructures publiques et aux universités", explique M. Holz. "Ces dernières années, nous avons remarqué que les attaques contre ces entités ne cessent d'augmenter. Nous sommes devenus de plus en plus conscients que nous devions être proactifs".
La sécurisation de l'accès aux zones sensibles n'était qu'une des préoccupations de M. Holz. En outre, si le service d'annuaire central était compromis, la capacité de travail de l'ensemble de l'institution pourrait être restreinte pendant des jours, ou pire, être complètement paralysée. Par conséquent, M. Holz et son équipe ont envisagé un audit par un tiers de la sécurité et de la fonctionnalité de l'infrastructure de gestion des identités de l'université.
"Même si nous étions sûrs d'avoir fait le nécessaire, il était toujours possible que nous ayons négligé des points faibles. Et de nouveaux vecteurs d'attaque que nous n'aurions pas pu détecter - par exemple, de nouvelles techniques basées sur l'intelligence artificielle - apparaissent chaque jour".
"Sans le soutien d'un partenaire compétent, cette évaluation nous aurait demandé beaucoup d'efforts pour obtenir un résultat de qualité similaire. Et elle aurait nécessité une formation complète de nos employés."
Mike Holz, Head of Central Administration Services
Évaluation de la sécurité des AD avec un partenaire compétent
Pour une évaluation de base de la sécurité de l'Active Directory (ADSA), l'équipe de Holz voulait un fournisseur de premier plan de solutions de sécurité de l'Active Directory, disposant d'une expérience suffisante et d'une connaissance des développements actuels. La décision a été prise en faveur de Semperis, un expert reconnu qui aide les organisations à protéger leurs identités et à optimiser les processus de sécurité.
Semperis propose une gamme de solutions qui traitent les faiblesses et les risques liés à l'utilisation d'Active Directory, surveillent les changements apportés au service d'annuaire, détectent les menaces éventuelles, même de la part d'utilisateurs privilégiés, et permettent de réagir rapidement aux attaques.
S'appuyant sur une vaste expérience acquise dans le cadre de divers projets internationaux, Semperis ADSA offre une vue d'ensemble du système d'identité.
- Une évaluation détaillée du niveau de sécurité de l'environnement Active Directory permet aux organisations de bien comprendre les risques identifiés et fournit des recommandations ciblées pour renforcer la sécurité d'Active Directory.
- En plus d'identifier les mauvaises configurations dangereuses et les risques associés, l'évaluation détecte les chemins d'attaque dans l'environnement AD qui pourraient permettre à un attaquant de compromettre les ressources critiques de niveau 0.
- Un examen de l'architecture de sécurité et des processus opérationnels complète l'évaluation en identifiant les écarts par rapport aux meilleures pratiques. Des entretiens avec des personnes et des experts dans des domaines clés tels que la gouvernance de la sécurité, l'architecture du réseau, la confiance dans les domaines, l'administration des systèmes et la surveillance de la sécurité permettent de découvrir des vulnérabilités potentielles et de formuler des recommandations appropriées.
Il en résulte des recommandations sur mesure pour renforcer la sécurité, y compris les meilleures pratiques pour configurer Active Directory de manière sécurisée. La mise en œuvre de ces mesures relève de la responsabilité de l'organisation.
Un processus d'évaluation de la sécurité fluide et efficace
Une fois la décision prise de s'attaquer au projet, les équipes concernées ont été constituées et un processus structuré a été mis en place.
Sous la direction de l'équipe de gestion du projet, des experts de Semperis du monde entier ont apporté leur expertise à l'évaluation. Des outils ont été utilisés pour capturer efficacement et automatiquement la configuration d'Active Directory et les informations supplémentaires nécessaires à l'analyse.
Cette approche coordonnée a permis de minimiser la charge de travail du personnel informatique de l'université. L'évaluation complète - comprenant la définition de l'objectif, la clarification des domaines à évaluer, l'inventaire de la structure d'identité, l'analyse de l'environnement complet et l'évaluation des risques - a été réalisée en six à huit semaines. Le temps net nécessaire au personnel des services administratifs centraux de l'université n'a été que de quelques jours.
L'analyse qui en a résulté a permis à l'université d'avoir une vue d'ensemble de l'infrastructure et des processus existants.
"En fait, seuls quelques problèmes critiques ont été identifiés", note M. Holz. "Surtout par rapport à d'autres institutions de notre taille et avec des exigences de sécurité comparables, le résultat a été très positif.
Toutefois, cela ne signifie pas que les pratiques actuelles peuvent être poursuivies avec complaisance. "Certains éléments [de l'évaluation] nous incitent à examiner certains points qui, compte tenu des risques potentiels, devraient maintenant être abordés étape par étape".
Transfert de savoir-faire inclus
Même si le résultat de l'évaluation a largement attesté du travail fructueux de l'équipe de l'université, sa mise en œuvre a eu un certain nombre d'autres influences positives.
Tout d'abord, il renforce la confiance dans les mécanismes de sécurité établis et dans les personnes impliquées. Elle améliore également la réputation de l'université dans l'écosystème international, en favorisant une coopération de confiance avec d'autres institutions scientifiques et partenaires de l'industrie.
En outre, les résultats de l'analyse aideront l'université à déployer plus efficacement les ressources humaines disponibles. Cet effet positif ne peut être sous-estimé, explique M. Holz. "Sans le soutien d'un partenaire compétent, cette évaluation nous aurait demandé beaucoup d'efforts pour obtenir un résultat de qualité similaire. De plus, elle aurait nécessité une formation complète de nos employés."
"En fait, l'expertise de notre propre équipe s'est considérablement accrue grâce à la collaboration avec les experts de Semperis en ce qui concerne la fonction et les vulnérabilités de l'Active Directory - un transfert de savoir-faire réussi", ajoute-t-il.
Dans une perspective à long terme, l'équipe AD de l'université s'estime bien équipée avec les processus désormais optimisés, tout en reconnaissant qu'une sécurité absolue ne peut être garantie dans un environnement hautement dynamique.
"Compte tenu des efforts déployés par les parties intéressées pour obtenir des résultats de recherche valables, notamment en exploitant les technologies d'intelligence artificielle, nous devons continuellement faire face à de nouveaux vecteurs d'attaque".
En fait, la gestion des identités comporte toujours des risques, mais ceux-ci peuvent être minimisés en utilisant des méthodes telles que le suivi des changements et l'auto-remédiation. Enfin, même dans le pire des cas, il est important de pouvoir restaurer l'AD en quelques minutes. Des outils tels que Active Directory Forest Recovery sont disponibles à cet effet et peuvent être mis en œuvre avec un minimum d'efforts.
