Tout comme l'impact des cyberattaques ne se limite pas au département informatique, le rôle du RSSI s'est étendu au-delà de l'équipe de sécurité. Les organisations et les analystes reconnaissant désormais que l'identité est le nouveau périmètre de sécurité, la supervision d'une stratégie de sécurité globale axée sur l'identité est devenue une responsabilité essentielle du RSSI. Que doivent savoir les RSSI sur la détection et réponse aux menaces des systèmes d'identité (ITDR) ? Nos experts présentent ici cinq étapes importantes pour les responsables de la sécurité qui réfléchissent à l'avenir.
1. Mettre l'accent sur la sécurité axée sur l'identité pour renforcer la résilience opérationnelle
Simon Hodgkinson, ancien RSSI chez BP et conseiller stratégique chez Semperis, estime que la résilience opérationnelle doit être une priorité pour les responsables de la sécurité et les dirigeants d'entreprise. Et pour assurer une résilience totale, il ne suffit pas d'avoir un plan générique de reprise après sinistre.
« La reprise après sinistre a une définition assez étroite et est généralement envisagée dans un cadre temporel restreint », explique M. Hodgkinson. « La résilience opérationnelle est beaucoup plus large et comprend des aspects tels que le type de gouvernance que vous avez mis en place, la façon dont vous gérez les risques opérationnels, vos plans de continuité des activités et la gestion des risques cybernétiques, des risques liés à l'information et des risques liés aux fournisseurs tiers. La résilience doit être intégrée dans tous les domaines. »
Ce niveau de résilience dépend d'une sécurité solide de votre infrastructure d'identité. Pour plus de 90 % des organisations, il s'agit d'Active Directory (AD) et d'Azure AD. Après tout, si AD ne fonctionne pas, rien ne fonctionne. Comme le dit Hodgkinson, « Active Directory est au cœur même de votre capacité à fonctionner et à produire des résultats commerciaux, et il doit faire partie de votre stratégie de résilience opérationnelle au lieu d'être traité comme une île ».
- À faire : Constituez la sécurité des AD hybrides comme un élément central de votre plan de résilience opérationnelle.
- A lire : La résilience opérationnelle : plus qu'une simple reprise après sinistre
2. Élaborer une stratégie complète d'ITDR
"À la fin de l'année dernière, Gartner a attiré l'attention sur les solutions de détection et de réponse aux menaces liées à l'identité (ITDR)", explique Sean Deuby, technologue principal chez Semperis. "Il existe de nombreuses façons de renforcer vos défenses, mais la mesure la plus productive que les organisations peuvent prendre cette année est de donner la priorité à la sécurité axée sur l'identité."
Cette stratégie doit comprendre des procédures, des processus et des responsabilités spécifiques pour protéger votre infrastructure d'identité hybride tout au long du cycle de vie de l'attaque AD : avant, pendant et après une attaque. Elle doit comprendre un plan de sauvegarde et de récupération spécifique à l'AD et une surveillance régulière pour identifier les vulnérabilités liées à l'identité. Il doit également identifier les interdépendances entre vos systèmes d'identité et la technologie opérationnelle (OT).
- À faire : Élaborez une stratégie ITDR qui couvre toutes les étapes du cycle de vie de l'attaque AD.
- A lire : Comment élaborer une bonne stratégie ITDR
3. Obtenir une vision réaliste de la surface d'attaque de votre identité
« La plupart des attaques impliquent l'identité et, quel que soit leur point d'accès initial, les acteurs de la menace passent généralement par AD pour gagner du terrain dans votre environnement », explique M. Deuby. Il ajoute : « Un bon point de départ consiste donc à évaluer et à réduire la surface d'attaque d'AD. »
Cette étape nécessaire ne doit pas être difficile ou coûteuse. Des outils puissants sont disponibles gratuitement, tels que Purple Knight, qui vous aide à repérer les lacunes et les vulnérabilités qui existent souvent depuis des années et Forest Druid, qui quant à lui, vous aide à identifier vos actifs d'identité les plus importants et les chemins d'accès à ces actifs. Aucune installation ni autorisation spéciale n'est requise, et les outils fournissent un aperçu clair des vulnérabilités potentielles, ainsi que des indicateurs indiquant que des pirates ont peut-être déjà franchi votre périmètre d'identité. Vous obtiendrez également des conseils pratiques pour combler les lacunes existantes.
- À faire : Téléchargez et exécutez Purple Knight et Forest Druid pour obtenir un aperçu de votre surface d'attaque AD.
- À regarder : Protégez votre patrimoine identitaire avec Purple Knight et Forest Druid
4. Automatiser la protection de l'identité pour une réponse plus rapide
Forbes recommande aux RSSI de se concentrer sur les solutions d'automatisation de la prévention des menaces. « L'automatisation et une approche privilégiant les API peuvent contribuer à rationaliser les processus, à réduire le risque d'erreur humaine et à améliorer l'efficacité des équipes de cybersécurité. Cela inclut l'utilisation de l'automatisation dans des tâches telles que la gestion des vulnérabilités, la réponse aux incidents et les contrôles de conformité » déclare Forbes.
L'automatisation peut réduire la charge de travail des ressources ainsi que l'erreur humaine et accélérer la réponse aux incidents. Et lorsqu'il s'agit de protéger vos actifs identitaires du Tier 0, la rapidité est essentielle.
Lors de la tristement célèbre attaque Maersk NotPetya, par exemple, le ransomware s'est répandu sur le réseau à une vitesse record. « À la seconde où vous l'avez vu, votre centre de données avait déjà disparu », a déclaré Craig William, directeur de la division Talos de Cisco à Wired.
C'est pourquoi les solutions ITDR expertes permettent de revenir automatiquement sur les modifications apportées à AD. Semperis Directory Services Protector (DSP) automatise la remédiation et permet des déclenchements et des alertes personnalisés, afin que les organisations puissent répondre aux cyberattaques le plus rapidement possible.
L'automatisation de la récupération d'AD est une autre capacité essentielle. Une récupération manuelle peut prendre des jours, voire des semaines, contre moins d'une heure avec Semperis Active Directory Forest Recovery (ADFR).
- À faire : Demander une démo de DSP ou ADFR.
- À lire : Automatiser la détection et la réponse
5. Se préparer au pire
« Je pense que nous allons assister à une croissance continue de la cybercriminalité, sur tous les fronts, non seulement en 2023, mais aussi dans les années à venir. Selon Statista Cybersecurity Outlook, le coût mondial de la cybercriminalité devrait exploser au cours des cinq prochaines années, passant de 8,44 billions de dollars en 2022 à 23,84 billions de dollars en 2027, soit une croissance annuelle moyenne de 21 % à 36 %. Cette tendance est porteuse d'un message clair : Continuez à travailler sur les bases de la sécurité et à fermer les chemins d'attaque les plus courants. » déclare M. Deuby.
Les experts en sécurité ont coutume de dire que les cyberattaques sont une question de « quand, et non de si ». Les RSSI devraient se préparer à ce « quand » en disposant d'une sauvegarde spécifique à AD et d'un plan détaillé de récupération d'AD, et en testant ces deux éléments régulièrement. Les sauvegardes traditionnelles incluent à la fois AD et le système d'exploitation, qui peut contenir des logiciels malveillants. Les logiciels malveillants peuvent se cacher dans votre environnement pendant des semaines ou des mois, corrompre les sauvegardes de sorte que la récupération réinfecte vos systèmes. Et la dernière chose dont vous avez besoin est de découvrir des failles dans votre plan de sauvegarde ou de restauration au cours d'une cyberattaque active.
- À faire : Élaborer un plan de sauvegarde et de récupération spécifique à AD et le tester régulièrement.
- À lire : Pourquoi la récupération d'Active Directory après une cyberattaque est un élément essentiel de l'ITDR
En savoir plus
Plusieurs des plus grandes organisations mondiales font confiance aux experts en sécurité des identités de Semperis pour les aider à protéger et à restaurer leurs infrastructures Active Directory et Azure AD. Reconnu par Semperis comme un fournisseur expert de solutions ITDR, les solutions et services de Semperis se concentrent sur la protection de l'identité hybride tout au long du cycle de vie de l'attaque AD : avant, pendant et après.