[Note de la rédaction : cet article est une contribution du PDG et fondateur de TAG, Ed Amoroso].
Tout observateur de la cybersécurité dans le secteur public reconnaîtra les graves problèmes de protection des technologies de l'information (TI) auxquels les organismes du secteur public américain ont été confrontés au cours des dernières décennies. Des incidents majeurs, tels que la violation de données de 2015 à l'Office of Personnel Management (OPM) des États-Unis, ainsi que des violations par des États-nations de grandes agences, telles que le Département d'État américain, illustrent le défi permanent auquel sont confrontés les responsables du secteur public.
Quelle est l'incidence d'Active Directory sur la cybersécurité du secteur public ?
Il n'est pas surprenant que les organismes du secteur public soient exposés aux mêmes vulnérabilités en matière de cybersécurité que tous les autres secteurs. L'appartenance au secteur public ne semble pas offrir de grands avantages en termes d'évitement des menaces ou de cyberprotection. À cette fin, il est raisonnable de supposer que l'une des vulnérabilités les plus courantes et les plus intenses en matière de cybersécurité dans le secteur public concerne les faiblesses de Microsoft Active Directory (AD).
AD est la base de la gestion des identités et du contrôle d'accès dans la plupart des organismes du secteur public.
- L'intégrité de l'AD est essentielle pour garantir que seul le personnel autorisé peut accéder aux informations gouvernementales sensibles, aux systèmes critiques et aux ressources classifiées.
- Une faille dans la sécurité des AD peut compromettre la sécurité nationale, exposer les données des citoyens et perturber les services publics essentiels.
- Les organismes du secteur public sont confrontés à des mandats réglementaires et de conformité stricts qui exigent des protocoles de sécurité AD.
- La complexité des écosystèmes informatiques gouvernementaux et l'augmentation des environnements de travail hybrides renforcent encore la nécessité de mesures de sécurité AD avancées.
Les organisations du secteur public doivent donc donner la priorité à la protection des DA afin d'empêcher les accès non autorisés, de garantir la conformité et de maintenir la continuité opérationnelle face à l'évolution des cybermenaces.
En savoir plus sur le renforcement d'Active Directory
Qu'est-ce que la détection des attaques AD ?
L'obtention d'un niveau de sécurité AD suffisant dépend d'un large éventail de fonctions, de contrôles et de services. Ceux-ci dépendent à leur tour non seulement de bonnes capacités de sécurité, mais aussi d'une administration quotidienne appropriée. Cela dit, nous avons observé que l'aspect le plus difficile de la sécurité AD pour le secteur public concerne la détection et l'atténuation des attaques avant, pendant et après leur déclenchement sur une cible vivante.
La détection des attaques AD consiste à identifier les activités malveillantes ciblant les systèmes AD. Ces activités comprennent
- Connexions non autorisées
- L'escalade des privilèges
- Modifications de la structure des répertoires
La détection efficace des attaques AD repose sur la surveillance continue, l'utilisation de l'intelligence artificielle et l'analyse comportementale pour signaler les activités suspectes. Ces capacités permettent de détecter rapidement les anomalies, telles qu'une augmentation inhabituelle des privilèges d'accès ou des modifications des stratégies de groupe.
Étant donné le rôle critique de l'AD dans la gestion de l'accès aux systèmes gouvernementaux, la détection des attaques en temps réel est essentielle pour minimiser l'impact des cyberattaques. La détection précoce améliore considérablement les efforts de réponse aux incidents, minimisant ainsi le risque de brèches majeures. En identifiant les menaces de manière proactive, les organismes du secteur public peuvent :
- Réduire le temps d'attente
- Limiter les mouvements des attaquants au sein des réseaux
- Prendre des mesures immédiates pour protéger les données et les services sensibles
Menaces actuelles liées à l'identité pour la cybersécurité du secteur public
Comme indiqué ci-dessus, les organismes du secteur public sont des cibles en raison de la valeur de leurs ressources. Les attaques par ransomware comptent parmi les menaces les plus répandues, exploitant souvent les vulnérabilités des AD pour se propager dans les systèmes gouvernementaux et perturber les services.
Ces attaques visent souvent à paralyser les infrastructures ou à extorquer aux agences des sommes importantes en échange du décryptage de données essentielles. Les acteurs nationaux qui ciblent les identifiants AD à des fins d'espionnage sont également très préoccupants.
En outre, de nombreux environnements informatiques du secteur public sont des systèmes hérités, qui contiennent souvent des vulnérabilités non corrigées et des configurations erronées que les attaquants exploitent. Le passage au travail à distance a encore compliqué les efforts de sécurité, élargissant la surface d'attaque et exposant l'AD à des brèches potentielles. Ces menaces en constante évolution soulignent le besoin urgent d'une sécurité AD solide dans les organismes du secteur public.
Plus généralement, le problème de cybersécurité du secteur public met en évidence les faiblesses globales des écosystèmes de gestion des identités et des accès (IAM) mis en place pour gérer les identités des utilisateurs et pour s'intégrer à l'AD. Ce défi ne devrait pas surprendre les praticiens, car la gestion des identités et des accès représente l'un des aspects les plus difficiles de la sécurité des entreprises modernes. La sécurité du secteur public n'est pas différente.
Mandats fédéraux pour la cybersécurité du secteur public
Aux États-Unis, il existe divers mandats fédéraux visant à mettre en œuvre des mesures de cybersécurité dans le secteur public, en particulier dans le cadre de la gestion des identités et des systèmes connexes tels que les services d'annuaire. L'un des principaux cadres législatifs est le Federal Information Security Modernization Act (FISMA), qui exige des agences fédérales qu'elles protègent les systèmes d'information et les données des utilisateurs, y compris la gestion des identités.
En vertu de la FISMA, les agences doivent mettre en œuvre des mesures de protection telles que l'authentification multifactorielle (MFA) et les contrôles d'accès des utilisateurs afin de garantir un accès sécurisé aux ressources gouvernementales. En outre, le décret 14028 (Improving the Nation's Cybersecurity) a favorisé l'adoption de l'architecture de confiance zéro (ZTA), obligeant les agences à passer d'une sécurité basée sur le périmètre à une approche plus centrée sur l'identité qui suppose que chaque demande d'accès n'est pas fiable jusqu'à ce qu'elle soit vérifiée.
Les systèmes IAM du secteur public sont également régis par des mandats tels que la publication spéciale 800-63 du NIST sur les directives relatives à l'identité numérique, qui établit les meilleures pratiques en matière de preuve d'identité, d'authentification et de gestion du cycle de vie des utilisateurs fédéraux. Ces directives ont un impact direct sur la sécurité des systèmes d'identité et des services d'annuaire du secteur public, notamment en imposant des processus de vérification rigoureux et en améliorant les mécanismes de fédération des identités.
Ainsi, bien qu'il n'y ait pas de mandat explicite pour l'amélioration de l'AD, les implications plus larges de ces politiques suggèrent un effort de sécurisation des systèmes d'identité d'entreprise. La gestion des identités joue un rôle crucial dans la gestion des identités et l'application des politiques dans l'ensemble du secteur public, y compris chez les sous-traitants. Dans le cadre de l'accent mis par le gouvernement sur la confiance zéro, l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) a publié les meilleures pratiques pour sécuriser les contrôles d'identité et d'accès, encourageant les agences et les sous-traitants à adopter des stratégies plus robustes en matière de sécurité des répertoires.
Utilisation de Semperis pour la sécurité AD dans le secteur public
La bonne nouvelle est que, même si l'IAM restera une entreprise complexe (dont les solutions dépassent le cadre du présent document), nous pouvons signaler qu'il existe des options efficaces permettant aux groupes du secteur public, y compris les agences fédérales, de réduire les risques liés au déploiement de la gestion des identités. Il faut s'en réjouir étant donné le rôle majeur que joue AD dans l'environnement global de l'identité pour la plupart des agences.
En particulier, la société de cybersécurité Semperis propose une suite de solutions de sécurité AD adaptées aux besoins des organisations du secteur public, en mettant l'accent sur la surveillance en temps réel, la détection rapide des attaques et la reprise après sinistre. Sa plateforme détecte les changements non autorisés dans AD, tels que les élévations de privilèges ou les modifications des politiques de groupe, et fournit des alertes automatisées aux équipes de sécurité, ce qui permet de prendre des mesures immédiates.
Semperis fournit aux organismes du secteur public des outils de récupération AD robustes qui minimisent les temps d'arrêt et empêchent la propagation des ransomwares. Si un environnement AD est compromis, les capacités de récupération automatisée de Semperis permettent aux organisations de restaurer rapidement les annuaires affectés à un état antérieur à la compromission. Pour les organismes soumis à des exigences strictes en matière de conformité et de disponibilité, une réponse et une récupération rapides en cas d'attaques AD sont essentielles.
Renforcer la cybersécurité du secteur public grâce à un plan d'action de renforcement des AD
TAG conseille aux RSSI du secteur public d'élaborer une stratégie de sécurité qui mette l'accent sur le renforcement de l'AD, la surveillance continue et la réponse aux incidents. Une première étape clé consiste à effectuer des évaluations régulières de la sécurité afin d'identifier les mauvaises configurations AD, les vulnérabilités non corrigées et les zones susceptibles d'être exploitées. Le déploiement de solutions avancées de sécurité AD, comme la plateforme de Semperis, peut permettre aux agences de détecter les attaques en temps réel, garantissant une réponse et une atténuation rapides. Les agences qui souhaitent s'engager avec Semperis doivent contacter directement la société afin d'identifier le meilleur véhicule contractuel disponible pour le déploiement de la preuve de concept (POC).
Découvrez les stratégies d'experts pour renforcer Active Directory
À propos de TAG : Reconnu par Fast Company, TAG est une société de recherche et de conseil de nouvelle génération qui utilise une plateforme SaaS alimentée par l'IA pour fournir des informations, des conseils et des recommandations à la demande aux équipes d'entreprises, aux agences gouvernementales et aux fournisseurs commerciaux dans les domaines de la cybersécurité, de l'intelligence artificielle et de la science du climat.
Plus de ressources
- Les dix principales erreurs de configuration de la NSA en matière de cybersécurité : Une perspective Active Directory
- Les dix principales erreurs de configuration de la NSA en matière de cybersécurité : Une perspective Active Directory (Partie 2)
- Qu'est-ce qu'une attaque DCSync ? | Catalogue d'attaques d'identité de Semperis