La sécurité moderne de l'information repose sur une défense à plusieurs niveaux. Chaque couche soutient les autres et présente des obstacles supplémentaires aux acteurs de la menace. De la gestion des correctifs aux pare-feux périmétriques, chaque couche rend plus difficile la compromission de votre réseau par les attaquants. L'authentification multifactorielle (MFA) est l'une de ces couches. L'AMF se décline en plusieurs variantes, mais toutes impliquent une combinaison des éléments suivants :
- Un objet que vous possédez, tel qu'un smartphone ou un jeton dur
- Quelque chose que vous connaissez, comme un mot de passe
- Quelque chose que vous êtes, comme une empreinte digitale ou d'autres données biométriques
Compte tenu de la prévalence du phishing, des mots de passe faibles et des informations d'identification volées qui sont achetées et vendues en ligne, la mise en œuvre du MFA pour Active Directory peut fournir une défense supplémentaire contre les attaques.
Lecture connexe : Qu'est-ce que la sécurité Active Directory ?
Comment fonctionne l'AMF pour Active Directory ?
Le MFA renforce les protections contre les attaques basées sur l'identité. Pour Active Directory, qui est au cœur de votre infrastructure d'identité, MFA fournit un niveau d'assurance que les utilisateurs légitimes sont ceux qui se connectent et accèdent à vos ressources informatiques.
Protéger l'environnement Active Directory sur site avec MFA est un défi. Active Directory n'offre un support natif pour le MFA que via l'authentification par carte à puce - à ne pas confondre avec le MFA pour Active Directory Federation Services (AD FS), qui fournit un second facteur d'authentification pour les applications intégrées à AD FS.
En l'absence de prise en charge directe de l'AMF pour Active Directory, les organisations peuvent intégrer des solutions d'AMF, telles que Windows Hello for Business ou Cisco Duo, dans leurs points d'extrémité de PC ou de serveurs administratifs (c.-à-d. de saut). Cela permet de renforcer l'accès à ces points d'accès typiques d'Active Directory pour les connexions interactives ou RDP. D'autres outils sont disponibles pour analyser les demandes d'authentification Active Directory et appliquer l'AMF conformément à la politique de l'organisation.
Comment mettre en œuvre l'AFM pour Active Directory dans des environnements d'identité hybrides ?
En raison de l'adoption du cloud, de nombreuses entreprises ont besoin d'une approche MFA qui couvre à la fois leur environnement Active Directory sur site et les fournisseurs de services d'identité dans le cloud tels qu'Entra ID. Pour prendre en charge ce type d'environnement hybride, les entreprises peuvent utiliser Microsoft Entra Connect (anciennement Azure AD Connect) pour synchroniser les identités entre Active Directory et le locataire Entra.
Dans Entra ID, les paramètres de sécurité par défaut sont fournis aux locataires d'Entra, qu'ils aient ou non des licences premium. La version gratuite d'Entra ID ne comprend toutefois pas la fonction d'"accès conditionnel", qui vous permet de configurer des règles avec des actions pour des scénarios d'ouverture de session spécifiques.
Les politiques d'accès conditionnel offrent une approche plus granulaire du contrôle de l'accès pour les conditions que vous spécifiez, telles que l'invite MFA pour toute personne accédant à un service lorsqu'elle n'est pas sur un réseau d'entreprise. Cette fonctionnalité est incluse dans les plans premium. De même, tous les plans Microsoft 365 permettent aux entreprises de mettre en œuvre l'AMF en utilisant les paramètres de sécurité par défaut. Microsoft 365 for Business et d'autres plans offrent des possibilités supplémentaires.
Microsoft 365 et Office 365 prennent en charge l'AMF via les méthodes suivantes :
- Un message texte, envoyé sur le téléphone de l'utilisateur, qui demande à l'utilisateur d'entrer un code de vérification.
- Un appel vocal
- Microsoft Authenticator
Comme Microsoft 365, Entra ID prend en charge plusieurs formes de vérification :
- Microsoft Authenticator
- Authenticator Lite (dans Outlook)
- Windows Hello pour les entreprises
- Clés de sécurité FIDO2
- Jetons matériels OATH
- Jetons logiciels OATH
- SMS
- Un appel vocal
Les applications qui s'authentifient directement avec Entra ID et qui disposent d'une authentification moderne, comme OpenID Connect, peuvent utiliser des politiques d'accès conditionnelles. Cependant, les applications patrimoniales et sur site qui ne s'authentifient pas directement avec Entra ID doivent être intégrées à l'aide du proxy d'application Entra ID ou des services de politique de réseau (NPS).
En septembre 2022, Microsoft a informé ses clients de la suppression d'Azure MFA Server. À partir du 30 septembre 2024, les déploiements d'Azure MFA Server ne répondront plus aux demandes de MFA. Pour éviter les échecs d'authentification, les organisations devraient migrer les données d'authentification des utilisateurs vers le service Entra ID MFA basé sur le cloud en utilisant l'utilitaire de migration fourni par Microsoft.
Qu'en est-il de l'authentification adaptative ?
Les protections MFA évoluent pour fournir une sécurité plus granulaire et adéquate. L'authentification adaptative reprend l'approche traditionnelle du MFA et y ajoute une couche supplémentaire basée sur la détection des risques.
Dans ce modèle, l'utilisateur est contraint de se soumettre à un niveau d'authentification plus élevé sur la base de critères dynamiques. Par exemple, un utilisateur peut avoir des caractéristiques spécifiques, telles qu'un rôle, un type d'appareil ou une localisation géographique. Si cet utilisateur tente soudainement de se connecter à partir d'un appareil ou d'un pays différent, le risque associé à cette tentative peut être utilisé pour justifier une demande d'AMF. Inversement, ce modèle peut réduire les frictions pour l'utilisateur en réduisant le nombre de fois où il doit se réauthentifier lorsqu'il agit selon son comportement normal.
Entra ID Protection (anciennement Azure Identity Protection) est un service qui effectue une authentification adaptative basée sur l'utilisateur et le risque de connexion. Si un risque est détecté, les mesures correctives consistent à obliger les utilisateurs à réinitialiser leurs mots de passe ou à bloquer l'accès jusqu'à ce qu'un administrateur intervienne. L'authentification adaptative constitue une autre barrière contre les acteurs de la menace qui tentent de pénétrer dans votre environnement.
Le MFA pour Active Directory est-il la meilleure défense ?
La mise en œuvre de l'AMF pour Active Directory peut contribuer à réduire la menace que représente le vol d'informations d'identification. Lorsque vous commencez votre déploiement MFA, l'endroit le plus évident pour commencer sont les comptes avec des droits d'accès privilégiés. Ces comptes sont les plus attrayants pour les attaquants car ils peuvent être utilisés pour étendre leur emprise et persister dans votre environnement sans être détectés.
D'autres comptes peuvent avoir de la valeur en raison du rôle de l'employé dans l'entreprise. Par exemple, une atteinte à l'identité d'un membre clé de l'équipe de génie logiciel ou du responsable du service des ressources humaines peut permettre aux attaquants de mettre la main sur des informations précieuses.
La mise en œuvre de fonctions de sécurité telles que le MFA peut ajouter une barrière supplémentaire entre les attaquants et votre environnement. Mais en soi, le MFA n'est pas une défense suffisante.
Renforcer la sécurité d'Active Directory
Pour sécuriser véritablement les identités dans votre environnement, il faut adopter une approche globale. Pour renforcer Active Directory :
- Identifier et corriger les vulnérabilités.
- Identifier et corriger les erreurs de configuration potentielles.
- Surveiller Active Directory (et les services tels que Okta ou Entra ID, dans les environnements hybrides) pour détecter toute activité suspecte.
- Si possible, automatisez la correction ou le retour en arrière des changements risqués.
- Tester et maintenir une sauvegarde d'Active Directory et des ressources d'identité critiques, distincte des sauvegardes du système d'exploitation ou des données.
- Intégrez un plan de reprise spécifique à Active Directory dans votre stratégie de reprise après sinistre.
D'autres outils, notamment des solutions pour les points d'extrémité, pour l'AMF et basées sur les journaux ou les événements, peuvent s'avérer utiles pour compléter votre stratégie de détection et de réponse aux menaces liées à l'identité (ITDR). Une défense en couches qui se concentre sur la sécurisation d'Active Directory et d'autres systèmes et services critiques est le meilleur moyen de renforcer la résilience opérationnelle de votre organisation.