Les consultants financiers et professionnels se voient généralement confier un accès sécurisé aux informations les plus sensibles des organisations. Dans la plupart des cas, Microsoft Active Directory (AD) est le point de contact central et la base d'une stratégie d'identité sécurisée.
RSM Ebner Stolz, l'un des principaux cabinets d'audit, de fiscalité, de droit et de conseil en gestion d'Allemagne, offre à ses clients un portefeuille complet de services. Basé à Stuttgart, le cabinet emploie plus de 2 100 personnes sur 14 sites à travers le pays et a généré un chiffre d'affaires de plus de 481 millions d'euros en 2024. Le cabinet compte parmi ses clients des entreprises industrielles, commerciales et de services de tous secteurs et de toutes tailles, de l'entreprise individuelle à la société cotée en bourse.
Le travail de l'entreprise exige que ses employés aient un accès sécurisé à certains des systèmes et données les plus critiques de ses clients. Dans un contexte de menaces de plus en plus volatiles, la cybersécurité et la résilience opérationnelle sont des priorités pour l'entreprise.
Pas d'alternative à la sécurité de l'identité
L'informatique interne de RSM Ebner Stolz joue un rôle important dans le maintien de la continuité des activités, en veillant à ce que les employés des différents sites de l'entreprise et des sites des clients aient toujours un accès rapide aux ressources centrales dont ils ont besoin. À cette fin, l'entreprise emploie plus de 80 personnes qui s'occupent de l'infrastructure et des applications nécessaires.
Un centre de données central à Francfort et des unités de calcul plus petites et réparties dans l'espace sont reliés par un réseau MPLS. Tous les employés, qu'ils soient au bureau ou en déplacement, sont équipés d'ordinateurs portables qui leur permettent de se connecter de manière flexible à des applications telles que DATEV et à d'autres applications spécifiques.
Face à l'intensification des cybermenaces, RSM Ebner Stolz a créé une équipe qui se consacre exclusivement aux questions de sécurité informatique. Au sein de ce groupe, Ben Glenz, ingénieur en sécurité informatique, se concentre sur la sécurité informatique opérationnelle. Lors de la création de l'équipe, son rôle a nécessité une analyse approfondie des processus existants de l'entreprise.
"Dans une entreprise qui s'est développée au fil des ans avec de nombreuses unités hétérogènes, il était impossible de s'attendre à un concept de sécurité uniforme pouvant être mis en œuvre uniquement sur un site vierge", se souvient M. Glenz. De nombreuses organisations sont confrontées à ce problème, par exemple lorsque de nouvelles structures doivent être intégrées à la suite d'acquisitions ou lorsque les activités sont de plus en plus souvent réalisées à distance - deux situations qui s'appliquent à l'environnement de l'entreprise.
Le point critique dans les infrastructures distribuées, hétérogènes et opérées à distance est le contrôle de l'accès accordé à toutes les ressources, qu'il s'agisse de données ou d'applications. Active Directory (AD) étant le service central permettant aux employés de RSM Ebner Stolz de se connecter facilement et de manière fiable depuis les bureaux de l'entreprise, les sites des clients ou les bureaux à domicile, l'une des premières mesures prises par M. Glenz a été de mener une enquête sur la position de l'entreprise en matière de sécurité de l'AD.
Pour ce faire, il a utilisé Semperis Purple Knight, un outil communautaire gratuit qui examine les environnements Active Directory à la recherche de mauvaises configurations, de vulnérabilités et de signes potentiels d'attaque. L'outil recherche plus de 185 indicateurs d'exposition (IOE) et de compromission (IOC) et fournit un score de sécurité ainsi que des conseils sur la manière de combler les lacunes potentielles.
Une première analyse effectuée par RSM Ebner Stolz a montré que l'infrastructure répondait aux exigences générales, mais qu'il existait un potentiel d'amélioration.
"Active Directory a été introduit il y a 25 ans et est basé sur les algorithmes de l'époque", explique M. Ganz. Comme dans la plupart des organisations qui se sont développées au fil du temps, en particulier celles qui ont connu des fusions ou des acquisitions, il a découvert des éléments qui ne répondaient pas aux exigences de sécurité actuelles ou qui n'étaient plus pris en charge. Par exemple, dit-il, "nous avons trouvé des systèmes d'exploitation obsolètes tels que Windows 7. Bien sûr, cela ouvre la porte aux attaquants".
Surveillance continue et orientations prioritaires en matière de sécurité
Le score déterminé par Purple Knight a fait pencher la balance en faveur d'un traitement immédiat du processus de changement d'Active Directory, malgré l'absence d'une menace active.
"Une chose est sûre, explique M. Glenz, si Active Directory est compromis, c'est l'ensemble du processus commercial qui l'est aussi.
L'équipe de sécurité a décidé d'installer deux produits : Semperis Directory Service Protector (DSP) et Active Directory Forest Recovery (ADFR). Les deux produits étaient faciles à installer, sans intervention de l'utilisateur.
DSP permet une surveillance continue de toutes les activités liées à Active Directory, créant ainsi une vue d'ensemble de la surface de sécurité de l'identité de l'entreprise. En outre, l'outil fournit des conseils prioritaires et exploitables, élaborés et fournis par des chercheurs en sécurité AD. Ainsi, DSP a présenté un moyen immédiatement efficace et complet de contrôler et de sécuriser l'accès aux actifs critiques de l'entreprise et de réduire durablement la surface d'attaque de l'identité.
La solution permet à l'équipe de M. Ganz de détecter et d'annuler les modifications suspectes ou à risque apportées à AD. RSM Ebner Stolz a opté pour l'édition hybride de l'outil, qui permet la détection et la réponse aux menaces d'identité (ITDR) à la fois pour Active Directory et Entra ID.
"Même si de nombreuses activités au sein de l'entreprise sont encore basées sur l'AD local, les processus se développent massivement en direction d'Azure", déclare Glenz pour expliquer la décision. "En outre, les attaquants se déplacent souvent des systèmes sur site vers le nuage ou vice versa.
Assurer la résilience opérationnelle grâce à une récupération rapide et sécurisée
L'ADFR permet de restaurer rapidement les forêts AD dans un état fiable en cas d'attaque réussie par un ransomware ou un wiper. La restauration manuelle d'une forêt AD peut prendre des jours ou des semaines et comporte le risque de persistance de l'attaquant et de réinfection des logiciels malveillants, ce qui peut entraîner des dommages économiques considérables pour la plupart des entreprises.
En revanche, l'ADFR rétablit la disponibilité opérationnelle en quelques minutes ou quelques heures, réduisant ainsi les temps d'arrêt jusqu'à 90 %. L'ADFR peut être utilisé pour réinitialiser Active Directory à un état sécurisé, en utilisant des sources d'installation propres pour empêcher la réintroduction de logiciels malveillants. La restauration peut être effectuée sur n'importe quel matériel virtuel ou physique. En outre, les capacités d'Identity Forensics and Incident Response (IFIR) de Semperis aident à prévenir efficacement les attaques de suivi potentielles.
"Alors que DSP intervient régulièrement en cas de tentative de modification de l'AD à des fins malveillantes, l'ADFR est l'instance ultime pour restaurer l'opérabilité informatique en cas d'attaque", déclare M. Glenz, expliquant l'interaction entre les deux outils. "Nous avons suivi le processus de récupération et nous étions de nouveau en ligne au bout de 20 minutes.
Un autre aspect attrayant de l'ADFR pour l'entreprise : Les données de sauvegarde nécessaires ne requièrent qu'un espace de stockage d'environ 300 Mo. L'ADFR offre également la possibilité d'un stockage en ligne dans le nuage.
Construire une base d'identité sécurisée
En adoptant DSP et ADFR, RSM Ebner Stolz a créé une base technique pour sécuriser Active Directory et pour appliquer des politiques de mots de passe ou d'attribution individuelle de droits.
"Les produits fonctionnent simplement, je n'ai pas besoin de me connecter tous les jours", explique M. Glenz. "Si quelque chose ne fonctionne pas, je reçois une notification.
Cela permet non seulement à Glenz de mieux dormir, mais lui donne également, ainsi qu'au reste de son équipe, plus de temps pour s'occuper d'autres tâches urgentes.