L'université de Stuttgart fait partie d'un écosystème complexe et constitue un point névralgique pour la recherche dans une région économiquement dynamique. Environ 23 000 jeunes gens étudient à l'université dans les différentes disciplines. Ils sont donc soutenus par quelque 5 700 travailleurs, ce qui permet aux chercheurs et aux étudiants d'obtenir de très bons résultats. Il s'agit d'une infrastructure numérique qui garantit l'accès gratuit à d'autres ressources, même si la législation en vigueur ne le permet pas.
La gestion du matériel et des services connexes relève du domaine des technologies de l'information et de la communication (TIK) en tant qu'élément des centres d'information et de communication de l'université (IZUS). Dans ce domaine se trouvent également les services centraux d'administration, qui assurent le soutien central du poste de travail, y compris le serveur d'impression Fileoder, la gestion des correctifs et l'administration de l'équipement. Il en va de même pour la prise en charge des applications pratiques telles que la gestion des documents ou l'administration personnelle.
Les services centraux d'administration (ZVD) s'efforcent également d'utiliser l'Active Directory pour permettre aux clients et aux étudiants d'accéder aux ressources dont ils disposent. "Dans le cadre de la gestion des identités, nous sommes très impliqués dans la sécurité et le fonctionnement de l'Active Directory", a déclaré Mike Holz, directeur général de ZVD.
Active Directory en tant qu'instance centrale
Compte tenu de l'importance et de la sensibilité des résultats de recherche obtenus dans le domaine des technologies de l'information et de l'intérêt mondial pour les données, la protection des données doit être d'une importance capitale. C'est pourquoi il convient de tenir compte de l'environnement particulier dans lequel un grand nombre d'étudiants ayant des comptes privés peuvent accéder à leur réseau universitaire par le biais d'un VPN. Cette situation de flambée continue constitue également un défi pour la révision des droits de l'homme. C'est pourquoi il est nécessaire d'associer l'informatique au système d'administration personnelle.
"Nous nous occupons nous-mêmes de l'évolution de la sécurité, en particulier dans les établissements publics et les universités", a déclaré M. Holz. "Au cours des dernières années, il s'est avéré que les attaques contre ces secteurs sont toujours d'actualité. Nous avons été très conscients du fait que nous devions devenir proactifs dans ce domaine". La protection des frontières dans les domaines sensibles n'est donc qu'une partie de la médaille. Il en va de même lorsque, à la suite d'un compromis avec les services centraux de vérification, la capacité de travail de l'ensemble de l'institution est mise en péril pendant plusieurs années, même si elle n'est pas encore totalement supprimée.
Mike Holz et son équipe ont cherché des solutions pour améliorer la sécurité et la fonctionnalité de la gestion de l'identité sur un site concurrentiel. "Même si nous étions sûrs d'avoir obtenu la bonne réponse, nous avons eu la possibilité d'utiliser les listes de contrôle. En outre, de nouvelles mesures de lutte contre les incendies seront mises en place, par exemple sur la base de nouvelles techniques de lutte contre les incendies, que nous n'avons pas encore pu mettre en place sur le radar.
"Sans l'évaluation avec l'aide d'un partenaire compétent, nous aurions dû obtenir un résultat d'une qualité nettement supérieure. C'est d'autant plus vrai qu'une formation complète des travailleurs est nécessaire."
Mike Holz, chef du département ZVD
Évaluation de la sécurité avec un partenaire compétent
Il est évident que l'évaluation de la sécurité de l'Active Directory (ADSA) doit être confiée à une entreprise expérimentée qui, en tant que fournisseur de solutions de sécurité pour l'Active Directory, s'appuie sur une expérience et une connaissance approfondies des développements actuels. L'aide vient tout d'abord de Semperis, un expert reconnu, qui aide les organisations à protéger leurs identités et à optimiser leurs processus de sécurité. Semperis propose ainsi une série de solutions qui permettent d'identifier les faiblesses et les risques liés à l'utilisation de l'Active Directory, d'éviter les modifications du système d'identification, d'identifier les comportements inadéquats, y compris chez les utilisateurs privilégiés, et d'assurer une réaction rapide en cas d'incident.
S'appuyant sur une expérience de longue date dans le cadre de projets clients mondiaux, Semperis propose l'évaluation de la sécurité de l'Active Directory (ADSA). Cette analyse fournit une évaluation détaillée de la sécurité de l'architecture Active-Directory, donne aux organisations un aperçu détaillé des risques identifiés et propose des conseils pratiques pour renforcer la sécurité de l'Active-Directory.
Outre l'identification des configurations problématiques et des risques qui en découlent, il s'agit également d'identifier les faiblesses internes à la structure de l'AD, qui permettent à l'utilisateur de compromettre des ressources critiques (de niveau 0).
L'analyse des évaluations est complétée par un examen de l'architecture de sécurité et des procédures opérationnelles. Il s'agit donc d'identifier les meilleures pratiques. Des entretiens avec des collaborateurs et des experts ont permis d'aborder des domaines essentiels tels que la gouvernance de la sécurité, l'architecture du réseau, la confiance dans les domaines, l'administration des systèmes et l'assistance en matière de sécurité, afin d'identifier des améliorations potentielles et de formuler des recommandations judicieuses.
Les résultats sont des conseils plus détaillés pour renforcer la sécurité, notamment les meilleures pratiques pour une configuration sûre de l'Active Directory. L'application de ces méthodes relève du succès de l'organisation.
Une fois la décision prise, le projet a été analysé, les équipes concernées ont été constituées et un catalogue de documents structuré a été élaboré. La période allant de la définition du champ d'application et de la classification des domaines à surveiller à l'inventaire de la structure jusqu'à l'analyse de l'environnement global et à l'évaluation des risques a duré entre sept et huit semaines, alors que le réseau de télécommunications pour les travailleurs des administrations centrales de l'université a duré environ un an. Dans le cadre de ce projet, des experts de Semperis ont été mobilisés dans le monde entier afin de contribuer à l'évaluation grâce à leur expertise. Des outils ont donc été mis en place pour que la configuration de l'Active-Directory et les informations complémentaires nécessaires à l'analyse puissent être collectées de manière efficace et automatisée. C'est sur cette base qu'a été réduite la charge de travail permanente de l'informatique universitaire.
L'université a ainsi obtenu une analyse complète de l'infrastructure et des processus en question. "Les problèmes critiques soulevés ont été minimes", a déclaré Mike Holz à propos du résultat de l'étude. "Le résultat a été très positif, surtout en comparaison avec d'autres institutions de notre taille et avec des normes de sécurité comparables. Ce qui ne signifie pas pour autant que la pratique actuelle soit encore plus efficace. "Manches hat Anlass gegeben, über gewisse Punkte nachzudenken, die unter Berücksichtigung des gegebenen Potenzials nun sukzessive anzugehen sind."
Transfert de savoir-faire Inklusive
Même si le résultat des évaluations a confirmé, dans certains domaines, le bon fonctionnement des équipes, leur mise en œuvre a eu d'autres retombées positives : Elle renforce la confiance dans les mécanismes mis en place et dans les personnes qui s'en occupent, ce qui renforce la réputation de l'université dans l'écosystème international et jette les bases d'une collaboration fructueuse avec d'autres institutions scientifiques et des partenaires de l'économie. C'est pourquoi les résultats de l'analyse permettent de mieux cibler les ressources humaines à mettre en œuvre. Dans ce contexte, un autre effet ne doit pas être négligé : "Sans l'évaluation avec l'aide d'un partenaire compétent, il nous faudrait un résultat d'une qualité nettement supérieure. C'est d'autant plus vrai qu'une formation complète des travailleurs est nécessaire", a déclaré M. Holz. C'est pourquoi la compétence de nos propres équipes, grâce à la collaboration avec les experts de Semperis, en ce qui concerne le fonctionnement et l'utilisation de l'Active Directory, a été considérablement améliorée, ce qui constitue également une forme de transfert de savoir-faire très efficace.
L'équipe AD de l'université a été bien inspirée par les processus optimisés, mais elle a également compris qu'une sécurité absolue dans un environnement hautement dynamique ne peut être garantie. "Dans le cadre de notre objectif, qui est d'élaborer des programmes d'intérêt, afin d'encourager les recherches approfondies, et avec l'aide de technologies de pointe dans le domaine de l'intelligence artificielle, nous nous engageons à poursuivre nos efforts avec les nouvelles technologies de l'information et de la communication".
La gestion des identités comporte toujours des risques, qui peuvent être minimisés par l'utilisation de méthodes telles que le suivi des changements et la remédiation automatique. En outre, dans le pire des cas, il est possible de se retrouver dans une situation où l'AD est supprimée en quelques minutes. Des outils complémentaires tels que Active Directory Forest Recovery sont disponibles et peuvent être mis en œuvre avec un minimum d'effort.
