En 2019, la Financial Conduct Authority (FCA) a proposé des changements sur la manière dont les institutions du secteur financier britannique assurent leur résilience opérationnelle, en particulier face à la menace des cyberattaques. La FCA commencera à appliquer les orientations le 31 mars 2022. Toutes les organisations réglementées par la FCA devront se soumettre à des audits pour prouver leur conformité et disposeront d'un délai très court pour résoudre les problèmes de conformité. L'une des étapes clés pour se conformer à la nouvelle réglementation de la FCA consiste à assurer la cyber-résilience de votre environnement Microsoft Active Directory (AD) en raison du rôle essentiel d'AD dans l'authentification des utilisateurs et l'accès aux applications et services critiques de l'entreprise.
Les orientations de la FCA détaillent les exigences imposées aux institutions pour fixer des tolérances d'impact pour les services commerciaux importants, en précisant que "les entreprises doivent fixer leurs tolérances d'impact au premier point à partir duquel une perturbation d'un service commercial important causerait des niveaux intolérables de préjudice aux consommateurs ou de risque pour l'intégrité du marché". Le règlement stipule également que "les entreprises doivent tester leur capacité à rester dans les limites de leur tolérance d'impact pour chacun de leurs services commerciaux importants dans le cas d'une série de scénarios défavorables, y compris une perturbation sévère mais plausible de leurs opérations".
La prévention de l'interruption des services de l'entreprise commence par la protection du système d'identité de l'organisation. La plupart des organisations s'appuient sur AD pour les services d'identité de base, qui à leur tour contrôlent l'accès à la plupart des autres systèmes. Il est donc essentiel de s'assurer que les tolérances d'impact d'AD sont définies et testées pour se conformer aux directives de la FCA.
Le renforcement d'AD contre les cyberattaques devrait être une priorité absolue pour chaque organisation, indépendamment des règles de la FCA. L'AD est très vulnérable et constitue une cible de choix pour les acteurs de la menace :
- Les consultants de Mandiant estiment que 90 % des incidents sur lesquels ils enquêtent impliquent l'AD sous une forme ou une autre
- Enterprise Management Associates (EMA) a constaté que 50 % des organisations ont subi une attaque contre l'AD au cours des deux dernières années, et que 40 % de ces attaques ont été couronnées de succès.
- Lors d'une enquête menée auprès d'entreprises, 97 % d'entre elles ont déclaré qu'AD était essentiel à leurs activités et qu'une panne d'AD aurait des conséquences "graves" ou "catastrophiques".
Comme AD contrôle l'accès des utilisateurs aux applications et aux services, il détient les clés du royaume. En s'introduisant par le biais d'une configuration risquée ou d'une faille de sécurité, les cybercriminels peuvent se déplacer latéralement dans l'environnement, en utilisant AD comme une carte au trésor pour les guider vers des données sensibles qui peuvent être exploitées pour obtenir une rançon. De plus, AD est une voie souvent exploitée pour propager des logiciels malveillants.
La protection d'AD permet de répondre aux exigences de la FCA
La protection d'AD contre les menaces et la création d'un plan de reprise d'AD testé et axé sur la cybersécurité constituent les éléments fondamentaux d'une stratégie de sécurité qui répondra aux exigences de la réglementation de la FCA. Les actions clés sont les suivantes :
- Améliorer la résilience opérationnelle en veillant à ce que l'AD puisse être rapidement rétabli dans un état de sécurité connu.
- Surmonter les dérives de configuration en identifiant les modifications dangereuses et malveillantes apportées à AD et en y remédiant automatiquement.
- Combler les lacunes en matière de compétences spécialisées en recrutant du personnel et en mettant en œuvre des technologies spécialisées dans l'AD
- Établir un point de référence pour mesurer le niveau de risque acceptable en ce qui concerne la correction des vulnérabilités, l'identification et le traitement des indicateurs d'exposition et de compromission dans AD, et l'établissement de délais et de processus de récupération.
- Utilisation de renseignements opportuns et exploitables sur les menaces pour se protéger contre les menaces émergentes qui ciblent les systèmes d'AD
Malheureusement, certaines technologies de sécurité (telles que les SIEM) sont aveugles à de nombreuses vulnérabilités d'AD, et la plupart des solutions de sauvegarde traditionnelles ne satisfont pas aux tolérances d'impact d'AD. Nik Simpson, analyste chez Gartner, a récemment souligné la nécessité pour les organisations de mettre en œuvre des solutions de restauration spécifiques à AD pour lutter contre la récente augmentation des cyberattaques ciblant AD. Il a déclaré que les dirigeants qui se concentrent sur la sécurisation de l'infrastructure du centre de données devraient "accélérer la reprise après les attaques en ajoutant un outil dédié à la sauvegarde et à la restauration de Microsoft Active Directory".
Parce qu'une attaque réussie sur AD peut paralyser les opérations de l'entreprise, les organisations ont besoin de solutions qui protègent AD avant, pendant et après une attaque. Les entreprises peuvent s'aligner sur les exigences de la FCA en matière de résilience opérationnelle en mettant en œuvre une stratégie de sécurité à plusieurs niveaux qui comprend :
- Mesures de pré-attaque pour identifier les risques et protéger le service en surveillant AD pour indicateurs d'exposition (IOEs) et indicateurs de compromis (IOCs)
- Capacités de détection et de réaction attaques en coursy compris :
- Détection des menaces et visibilité des actions des attaquants
- Remédiation automatique des modifications indésirables ou malveillantes
- Réponse aux incidents spécifiques à l'AD
- Après l'attaque pour restaurer l'ensemble de la forêt AD dans un état exempt de logiciels malveillants :
- une approche de la reprise après sinistre fondée sur la priorité au cyberespace, qui garantit que les logiciels malveillants ne sont pas réintroduits
- Sauvegarde et restauration AD automatisées, rapides et testables
- L'analyse forensique post-attaque pour éviter les compromissions répétées
Se conformer à la réglementation de la FCA est une question d'hygiène de la sécurité des AD
Le mandat de la FCA ne demande rien de plus qu'une sécurité adéquate des systèmes critiques, ce qui est déjà une priorité absolue pour toute organisation. Mais si, comme de nombreuses organisations, vous avez des lacunes non comblées dans votre posture de sécurité AD, l'élaboration d'un plan documenté pour remédier à ces vulnérabilités est une première étape essentielle pour satisfaire aux exigences de la FCA en matière de résilience opérationnelle.