Daniel Lattimer | Vice-président de zone - EMEA Ouest

Cette semaine, la loi de l' Union européenne sur la résilience opérationnelle numérique (DORA) entre en vigueur dans le but de fournir une feuille de route claire pour renforcer la cybersécurité dans l'ensemble du secteur des services financiers. Toutes les entités financières opérant dans ou avec l'UE - ainsi que les fournisseurs de technologies de l'information et de la communication (TIC) qui soutiennent ces entités - sont désormais tenues de se conformer à la loi DORA.

Si les exigences de la loi DORA s'appliquent à votre organisation et que vous n'avez pas encore évalué leur impact sur votre stratégie et vos procédures de détection et de réponse aux menaces liées à l'identité (ITDR), il n'y a pas de temps à perdre.

Pourquoi DORA est-il nécessaire ?

La numérisation rapide a considérablement accéléré l'innovation dans le secteur des services financiers. Les attentes des clients se sont accrues avec le développement de la technologie, les acteurs du secteur cherchant désormais à s'aligner et à capitaliser sur les opportunités de parts de marché en fournissant des services instantanés et personnalisés.

Pour les entreprises et leurs activités, les opportunités sont nombreuses. Cependant, du point de vue de la sécurité, ces avancées technologiques présentent des défis, rendant le secteur financier plus vulnérable à un éventail croissant de cybermenaces sophistiquées.

3 étapes à inclure dans votre liste de contrôle de conformité DORA

Précédemment, nous avons donné un aperçu des cinq piliers de la résilience définis par DORA et de leur application dans le contexte d'Active Directory (AD). Pour appliquer efficacement ces piliers, il est essentiel d'inclure les trois étapes suivantes dans votre liste de contrôle de conformité DORA :

  1. Déterminez qui est responsable de la conformité de la sécurité de votre Active Directory aux exigences de résilience de la DORA.
  2. Identifier précisément les risques pour votre environnement Active Directory hybride.
  3. Gérez efficacement les risques en vous assurant de votre capacité à remédier automatiquement aux modifications suspectes apportées à Active Directory et Entra ID afin de récupérer rapidement et en toute sécurité Active Directory et Entra ID si des attaquants parviennent à percer vos défenses.

Étape 1 : Qui est responsable de la conformité à l'ITDR et à la DORA ?

La prévalence croissante des cybermenaces pousse Active Directory à sortir des attributions des équipes d'infrastructure informatique et à s'adresser à des professionnels de la sécurité ou de la gestion des accès aux identités (IAM).

Active Directory s'intègre facilement aux applications et offre des fonctionnalités d'authentification unique dans l'ensemble de l'environnement professionnel. Au cours du quart de siècle qui s'est écoulé depuis son lancement, AD est resté omniprésent en tant que service d'annuaire essentiel qui relie les utilisateurs aux ressources du réseau dont ils ont besoin pour accomplir leurs tâches. En effet, il continue aujourd'hui à simplifier la vie des administrateurs en fournissant une plateforme centralisée pour la configuration des ordinateurs et des utilisateurs, ainsi que pour la gestion des droits.

Compte tenu de ce rôle, l'AD est traditionnellement du ressort des équipes d'infrastructure informatique responsables du développement, de la gestion et de la maintenance des processus et services numériques qui assurent le bon fonctionnement d'une entreprise. Mais récemment, la donne a changé.

Le monde moderne a engendré une plus grande complexité, de nombreuses entreprises dépendant désormais d'un large éventail d'applications, de données et d'autres actifs critiques résidant dans des paysages numériques de plus en plus complexes. Dans le même temps, les cybermenaces et les attaques ont augmenté de manière exponentielle, les entreprises de toutes formes et de toutes tailles étant désormais confrontées à des menaces allant des fuites de propriété intellectuelle aux attaques par déni de service (DDoS) et par ransomware.

Par conséquent, AD n'est plus simplement un outil de mise en réseau. Aujourd'hui, il est devenu une question essentielle de sécurité et de gestion des identités.

En tant que plateforme centralisée permettant aux administrateurs de gérer les autorisations et de contrôler l'accès aux ressources du réseau, l'AD détient effectivement les "clés du royaume" pour les entreprises. Il est donc devenu une cible privilégiée pour les cyberattaquants. La compromission d'AD peut donner accès à la quasi-totalité des systèmes, des applications et des ressources d'une entreprise.

"Parce qu'Active Directory fournit de riches capacités de gestion des identités et des accès pour les utilisateurs, les serveurs, les postes de travail et les applications, il est invariablement ciblé par les attaquants. Si un attaquant obtient un accès hautement privilégié à un domaine ou à un contrôleur de domaine Active Directory, cet accès peut être utilisé pour accéder, contrôler ou même détruire l'ensemble de la forêt Active Directory. "1

Planifier le compromis (Microsoft)

Cette transition a soulevé une question importante : où doit se situer la gestion de l'AD et qui doit la superviser ?

De plus en plus d'entreprises, en particulier dans le contexte de la DORA, transfèrent la propriété de l'AD aux équipes de gestion des identités et des accès (IAM) et de sécurité. Ce changement est motivé par les impacts potentiels considérables d'attaques, d'erreurs ou de temps d'arrêt sur l'AD et, par conséquent, sur les opérations de l'entreprise.

Étape 2 : Identifier les risques pour l'infrastructure d'identité

Prenons l'exemple des applications critiques pour l'entreprise et en contact avec la clientèle. Celles-ci reposent sur divers composants, notamment les comptes de service et les DNS, qui sont gérés dans Active Directory. Si AD ne fonctionne pas correctement ou n'est pas géré et sécurisé de manière efficace, l'application peut être exposée, ce qui peut avoir des conséquences sur la réputation de l'entreprise, sur son chiffre d'affaires et sur la conformité à la loi DORA.

Les entreprises reconnaissent de plus en plus ces risques et comprennent la nécessité d'accorder la priorité à la gestion efficace et à la sécurité de l'AD. Toutefois, il peut s'avérer complexe d'appréhender les risques réels liés à l'AD.

Il ne s'agit pas toujours de problèmes cybernétiques ; les vulnérabilités et les problèmes peuvent également résulter d'une erreur humaine. L'AD est géré par des personnes, et les personnes commettent des erreurs.

Un scénario courant consiste à supprimer accidentellement des composants critiques. Par exemple, un administrateur peut supprimer par inadvertance des centaines d'utilisateurs en tentant de modifier un groupe d'utilisateurs. Un autre problème fréquent est la suppression de comptes de service perçus comme des menaces pour la sécurité. Sans bien comprendre leurs fonctions ou leur importance, la suppression de ces comptes peut faire dérailler les opérations dans d'autres secteurs de l'entreprise.

Pour atténuer ces menaces - tant internes qu'externes, malveillantes qu'accidentelles - les organisations doivent avoir une connaissance approfondie de leur environnement AD, de ses associations et dépendances pertinentes, et des vulnérabilités qui y sont associées.

"Pour mieux comprendre l'environnement d'une organisation, les acteurs malveillants ont l'habitude de rechercher des informations dans Active Directory après avoir obtenu un accès initial à un environnement ... Ce faisant, les acteurs malveillants parviennent parfois à mieux comprendre l'environnement Active Directory de l'organisation que l'organisation elle-même. Cela leur permet de cibler l'Active Directory avec une plus grande probabilité de succès. Les acteurs malveillants utilisent leur connaissance de l'environnement pour exploiter les faiblesses et les mauvaises configurations afin d'élever leurs privilèges, de se déplacer latéralement et de prendre le contrôle total du domaine Active Directory.... Pour améliorer Active Directory, les organisations doivent comprendre parfaitement leur propre configuration d'Active Directory".2

Détecter et atténuer la compromission d'Active Directory (rapport de Five Eyes Alliance)

Heureusement, plusieurs outils gratuits sont disponibles pour fournir une visibilité immédiate sur les configurations AD, aidant ainsi les organisations à réduire leurs risques les plus critiques.

  • Purple Knight: Spécifiquement désigné comme outil d'audit AD par le National Cyber Security Centre et d'autres agences de cybersécurité de l'alliance Five Eyes, cet outil offre des évaluations de sécurité pour AD, Entra ID et Okta. Il aide les organisations à identifier les indicateurs d'exposition (IOE) et les indicateurs de compromission (IOC) au sein de leurs environnements AD hybrides, améliorant ainsi la sécurité et la résilience globales.
  • Forest Druid: Conçu pour relever le défi des permissions excessives dans Active Directory et Entra ID, Forest Druid adopte une gestion unique des chemins d'attaque. Au lieu d'examiner manuellement chaque groupe et chaque relation d'utilisateur, il donne la priorité aux chemins d'attaque menant au périmètre Tier 0 dans les environnements d'identité hybride. Cette focalisation sur les actifs critiques permet de gagner du temps et de renforcer la sécurité en s'attaquant d'abord aux vulnérabilités les plus importantes.

Il est essentiel d'obtenir une visibilité sur votre environnement actuel de cette manière. Ces outils constituent une base solide pour identifier les principales vulnérabilités et les voies d'attaque potentielles vers les actifs critiques de l'entreprise, en offrant une vue d'ensemble de vos risques potentiels à un moment précis.

Étape 3 : Adopter l'automatisation pour une gestion continue des risques

Bien que Purple Knight et Forest Druid permettent de prendre un bon départ, il est important de considérer ces outils comme le début d'une analyse continue et d'efforts de remédiation. Toute mesure ponctuelle est généralement inadéquate pour atténuer les risques potentiels associés à l'AD sur une base continue.

Considérez la nature dynamique de la plupart des entreprises : les acquisitions amènent de nouvelles structures Active Directory, des utilisateurs sont ajoutés ou supprimés quotidiennement, les rôles professionnels changent, et les applications et les paramètres réseau sont continuellement mis à jour. En d'autres termes, AD est un environnement vivant, où les politiques changent constamment.

Le fait de tracer une ligne aujourd'hui ne garantit pas que la même posture de sécurité sera valable demain. Au contraire, pour gérer et saisir efficacement ce risque évolutif dans le temps et rester en conformité avec la loi DORA, les entreprises ont besoin d'un moyen de saisir leur profil de risque, soit régulièrement, soit en temps réel.

Dans ce cas, les outils automatisés constituent la solution la plus puissante et la plus logique. Tenter de surveiller AD et de remédier manuellement aux changements suspects peut prendre du temps et être sujet à l'erreur humaine. Les solutions automatisées peuvent assurer une surveillance et une évaluation continues, ce qui vous permet de garder une longueur d'avance sur les menaces émergentes.

Et si le pire se produit - comme c'est souvent le cas en raison de la fréquence, de la persistance et de la sophistication des cybermenaces modernes - la capacité de récupérer rapidement et en toute sécurité Active Directory et Entra ID est primordiale. Tant qu'AD n'est pas opérationnel, les activités normales de l'entreprise ne peuvent tout simplement pas être rétablies.

Semperis dispose de plusieurs outils pour soutenir ces processus, notamment :

  • Directory Services Protector (DSP) : Reconnue par Gartner, cette solution de détection et de réponse aux menaces identitaires (ITDR) met la sécurité de l'Active Directory hybride en pilote automatique. Elle offre une surveillance continue et une visibilité inégalée sur les environnements AD et Entra ID sur site. Les fonctionnalités comprennent un suivi infalsifiable et un retour en arrière automatique des modifications malveillantes, ce qui garantit une protection solide et une récupération rapide.
  • Lightning IRP: cet outil basé sur le ML détecte les attaques d'identité sophistiquées que les solutions traditionnelles ne détectent pas, y compris les attaques par force brute, les attaques par pulvérisation de mot de passe et les activités anormales.
  • Active Directory Forest Recovery (ADFR) : Cet outil aide les organisations à se préparer aux pires scénarios en garantissant une récupération rapide et sans logiciels malveillants de la forêt AD en cas de cyber-catastrophe. Il permet de configurer facilement une réplique de l'environnement AD de production pour les exercices de reprise après sinistre et d'automatiser l'ensemble du processus de reprise de la forêt AD afin de minimiser les temps d'arrêt. En outre, ADFR permet de restaurer AD dans un état de sécurité connu, ce qui permet d'éviter les attaques ultérieures et d'assurer la continuité de l'activité.

Complétez dès aujourd'hui votre liste de contrôle de conformité DORA

L'AD étant un système critique utilisé pour stocker les informations des utilisateurs, gérer l'accès et l'authentification des utilisateurs et allouer des ressources aux services, aux actifs et aux données, il est essentiel que les sociétés de services financiers veillent à ce qu'il soit protégé.

Non seulement la conformité à la loi DORA l'exige, mais la sécurité et l'intégrité de votre entreprise et de vos clients en dépendent. Il est donc essentiel de prendre les mesures nécessaires pour atténuer en permanence les vulnérabilités et les risques potentiels.

  1. Veillez à ce que votre organisation comprenne l'impact significatif qu'une identité unique peut avoir sur divers aspects de l'entreprise, notamment sur les applications, les processus et les chaînes d'approvisionnement critiques. Compte tenu de cette interdépendance, il peut s'avérer nécessaire de réévaluer la propriété et la gestion de l'AD afin de s'assurer qu'elle s'aligne sur les priorités de l'entreprise et les besoins en matière de sécurité.
  2. Utilisez des outils open-source tels que Forest Knight et Purple Druid pour obtenir une visibilité précieuse sur l'état actuel de votre environnement AD et identifier les vulnérabilités et les voies d'attaque potentielles vers les actifs critiques de l'entreprise. Cette évaluation initiale est fondamentale pour élaborer des stratégies permettant de gérer et d'atténuer efficacement les principaux risques.
  3. Mettez en place des mécanismes qui vous permettront d'atténuer activement et en permanence les risques liés à l'AD. Pour les entreprises dotées d'environnements informatiques dynamiques, il vaut la peine d'investir dans des outils automatisés qui peuvent contribuer à rationaliser ce processus tout en aidant à démontrer aux auditeurs la conformité à la DORA et l'état de préparation de l'entreprise.

En suivant ces étapes, les organisations peuvent renforcer la sécurité de leurs environnements AD, réduire les risques de cybermenaces, et atteindre et maintenir la conformité DORA dans un paysage informatique en constante évolution.

Obtenez de l'aide pour évaluer la conformité de votre sécurité AD

Notes de fin d'ouvrage

  1. Planifier un compromis | Microsoft Learn
  2. Détection et atténuation des compromissions d'Active Directory