La loi sur la résilience opérationnelle numérique (DORA) est un nouveau cadre législatif de l'Union européenne (UE) visant à renforcer la résilience opérationnelle des systèmes numériques au sein du secteur financier. Toutes les entités financières qui opèrent dans ou avec l'UE doivent se conformer à la loi DORA d'ici début 2025, tout comme les fournisseurs de technologies de l'information et de la communication (TIC) qui soutiennent ces entités. Cet article présente les 5 piliers de la conformité DORA du point de vue de la sécurité Active Directory, afin que votre organisation soit bien préparée à répondre aux exigences de cette réglementation.
Lire "Conformité DORA et ITDR" (en anglais )
Les 5 piliers de la conformité DORA
Le DORA comprend cinq piliers de résilience :
- Gestion des risques liés aux TIC
- Gestion, classification et signalement des incidents liés aux TIC
- Essais de résilience opérationnelle numérique
- Gestion des risques liés aux TIC pour les tiers
- Partage d'informations
Pour parvenir à une conformité globale avec la loi DORA, chaque pilier doit être pris en compte et traité. Comme je l'ai expliqué dans "La conformité DORA et l'ITDR", une partie essentielle de la conformité DORA consiste à comprendre et à cartographier les services essentiels, les systèmes et leurs dépendances afin de s'assurer qu'ils sont bien protégés contre les menaces numériques et que chaque service dispose d'un plan de réponse aux incidents complet et testable.
La gestion et la surveillance d'Active Directory est la pierre angulaire d'une sécurité efficace de votre environnement grâce à la gestion de l'identité et de l'accès des utilisateurs (IAM). La sécurité de l'Active Directory relève donc de la compétence de DORA.
Une image claire et précise de votre configuration AD est cruciale pour maintenir la posture de sécurité de votre environnement et démontrer la conformité DORA. Voici comment vous pouvez répondre aux exigences des cinq piliers critiques de résilience de DORA dans le contexte d'Active Directory et de ses défis spécifiques.
Pilier 1 de la conformité au DORA : gestion des risques et gouvernance en matière de TIC
La gestion des risques exige des entreprises qu'elles disposent de cadres de gestion des risques liés aux TIC bien documentés pour tous leurs principaux actifs commerciaux. Ce cadre doit comprendre les outils, la documentation et les processus appropriés pour la cyberdéfense, les perturbations opérationnelles et tout scénario susceptible d'interrompre ou de perturber la continuité des activités pour les systèmes critiques.
Active Directory est un service fondamental qui fournit l'authentification et l'accès à la plupart des services critiques de l'entreprise, notamment le courrier électronique, les documents, les données et l'accès aux applications. Si Active Directory tombe en panne, tout le reste tombe également en panne.
Pour répondre aux exigences du pilier "gestion des risques" de DORA en ce qui concerne Active Directory, votre organisation doit le prouver :
- Vous avez une visibilité totale de votre configuration Active Directory et des systèmes et services qui en dépendent.
- Vous pouvez contrôler ce qui se passe dans Active Directory
- Vous pouvez récupérer Active Directory en cas de problème
Par où commencer en matière de gestion des risques ?
Les entreprises n'ont pas besoin de partir de zéro en matière de DORA et de gestion des risques. Vous pouvez utiliser comme point de départ les cadres, conformités et orientations sectorielles existants, tels que MITRE ATT&CK®(une base de connaissances mondiale sur les tactiques et techniques de cyberattaque).
Les normes historiques telles que le Top 20 du SANS ou les contrôles CIS sont également des ressources complètes sur lesquelles on peut s'appuyer pour élaborer un cadre de gestion des risques. Ces normes s'intéressent à la fois à vos actifs matériels et logiciels et à leur état de configuration.
Ces cadres et conformités constituent la base à partir de laquelle vous pouvez prendre des décisions basées sur le risque pour votre environnement.
La technologie et l'outillage devraient faire le gros du travail
La loi DORA exige que vous adoptiez une approche proactive et continue de l'évaluation des risques et des stratégies d'atténuation. La législation exige que les cadres de gestion des risques "soient documentés et revus au moins une fois par an ... ainsi qu'en cas d'incidents majeurs liés aux TIC, et à la suite ... des conclusions tirées des tests de résilience numérique opérationnelle ou des processus d'audit pertinents. Ils sont améliorés en permanence sur la base des enseignements tirés de la mise en œuvre et du suivi".1
Les examens réguliers et l'amélioration continue sont les meilleures pratiques pour une gestion efficace des risques. Toutefois, ces pratiques imposent également une pression et un travail considérables aux équipes chargées de maintenir et de réviser ces cadres.
La technologie et les outils sont inestimables pour prendre en charge le gros du travail grâce à l'automatisation et à la surveillance proactive, en veillant à ce que la conformité continue nécessite un minimum de temps et d'efforts. Par exemple, Semperis Directory Services Protector (DSP) fournit une vue complète de vos actifs logiciels Active Directory et de leur état de configuration, ce qui rend l'évaluation des risques et la cartographie de l'environnement transparentes, même pour les organisations complexes.
Outre ces informations, DSP fournit également un contexte à toutes les modifications apportées, même dans les environnements où des milliers de modifications Active Directory sont effectuées. DSP peut automatiquement détecter, alerter et inverser les modifications sur la base de règles d'alerte et de réponse configurables par le client. La solution surveille également en permanence les indicateurs d'exposition et d'attaque, afin d'identifier les vulnérabilités avant qu'elles ne soient exploitées ; si des traces d'exploitation sont détectées, DSP les présente comme des indicateurs de compromission.
"DSP...nous aide à protéger Active Directory. Nous avons pu renforcer notre infrastructure Active Directory comme jamais auparavant. Nous sommes en mesure de cocher toutes les petites cases et de nous assurer que tout est absolument sécurisé."
Paul Ladd, vice-président des systèmes d'information et de la technologie, AMOCO Federal Credit Union
Pour ceux qui ont besoin d'une assistance supplémentaire, nos services de préparation aux brèches peuvent fournir une évaluation complète de la sécurité AD.
En matière de conformité, la connaissance est synonyme de pouvoir. Il est essentiel de prendre le temps de bien comprendre ce dont vous disposez avant d'entamer les phases de planification et de test.
Pilier 2 : Signalement des incidents
Le DORA exige une normalisation de la classification des incidents liés aux TIC. Les organisations doivent utiliser des processus et des modèles définis pour signaler les incidents, et les régulateurs exigeront des rapports à trois stades:2
- Initiale
- Intermédiaire
- Phase finale d'un incident
Comme pour le pilier de la gestion des risques du DORA, les orientations et les cadres existants en matière de rapports peuvent être utiles pour élaborer votre processus de rapport.
L'approche de DORA en matière de résilience ne consiste pas nécessairement à examiner chaque composant individuellement, mais à passer en revue l'ensemble de la chaîne d'attaque ou de défense en place, ainsi que les interdépendances entre les composants. C'est là que le cadre ATT&CK de MITRE peut être utile. Établissez des scénarios théoriques, puis faites un rapport sur ces scénarios. La base de connaissances et les modèles de MITRE sont des normes industrielles, gratuites et libres. C'est un excellent moyen de comprendre comment les attaquants essaient généralement de s'en prendre à vous et comment vous devriez généralement vous défendre contre de telles menaces.
Le règlement décrit les éléments essentiels d'un processus holistique et efficace de signalement des incidents. Décortiquons ces exigences et leurs implications pour les rapports d'incidents d'Active Directory.
Identifier et classer les incidents
Tout d'abord, le DORA exige que les entités financières "établissent des procédures pour identifier, suivre, enregistrer, catégoriser et classer les incidents liés aux TIC en fonction de leur priorité et de la gravité et de la criticité des services touchés".3 En d'autres termes, maintenant que vous avez identifié et évalué vos risques, l'étape suivante consiste à convenir et à normaliser la manière dont les différents incidents sont catégorisés au sein de l'entreprise.
La classification est une étape essentielle. En regroupant les types d'incidents et les plans d'intervention correspondants, vous permettez une résolution rapide et précise des incidents.
Dans le cadre du pilier de gestion des risques de DORA, vous devriez avoir cartographié tous les scénarios probables d'incidents liés à Active Directory et en avoir étudié les impacts, afin de préparer ces incidents à la classification. Comme je l'ai expliqué précédemment, Active Directory est un élément fondamental de la continuité des activités, et votre classification doit donc refléter cette criticité.
Dans le rapport Microsoft 2023 Digital Defense Report, Microsoft a souligné que 43 % de ses clients ayant subi des incidents avaient des configurations Active Directory non sécurisées :
Les lacunes les plus fréquentes que nous avons constatées au cours des missions de réponse réactive aux incidents sont les suivantes :
- Absence de protection adéquate des comptes administratifs locaux.
- Une barrière de sécurité brisée entre l'administration sur site et l'administration en nuage.
- Manque d'adhésion au modèle du moindre privilège.
- Protocoles d'authentification anciens.
- Configurations Active Directory non sécurisées.
Pour la quasi-totalité des entités financières, Active Directory doit être considéré comme une priorité et une gravité élevées en raison de l'impact potentiel d'une compromission, d'une infiltration ou d'une panne.
Semperis' gratuit Purple Knight et Forest Druid Les outils gratuits et communautaires de Semperis permettent aux organisations d'obtenir une image de l'état de leur configuration AD. Purple Knight détecte les indicateurs d'exposition et de compromission, et vous donne un plan clair et réalisable pour aborder ces domaines et résoudre les problèmes. Forest Druid cartographie les chemins d'attaque vers Active Directory et Entra ID. En exécutant Purple Knight et Forest Druid dans le cadre de votre cycle d'examen régulier, vous faites un pas de plus vers la conformité.
Télécharger Purple Knight et Forest Druid maintenant
Attribution des rôles de réponse aux incidents
Ensuite, le DORA exige que les organisations "attribuent les rôles et les responsabilités qui doivent être activés pour les différents types et scénarios d'incidents liés aux TIC".4
La détection et le temps de réponse sont deux des facteurs les plus importants pour résoudre un incident et en minimiser l'impact. Cette fenêtre d'opportunité se referme rapidement. Microsoft et d'autres sources ont noté qu'il s'écoule généralement moins de deux heures entre le moment où un attaquant compromet un appareil et celui où il se déplace latéralement dans le réseau, ce qui ne laisse que peu de temps aux équipes pour contenir l'attaque. Par conséquent, en veillant à ce que chaque personne et chaque équipe connaissent leur rôle dans la réponse aux incidents et disposent d'un cahier des charges et d'une boîte à outils bien préparés pour remplir ces rôles, votre organisation se trouve dans la meilleure position possible pour faire face rapidement à n'importe quel scénario d'incident.
Communication et notification
Le DORA exige également que les organisations "établissent des plans de communication avec le personnel, les parties prenantes externes et les médias [...] et de notification aux clients, ainsi que des procédures internes d'escalade" et "veillent à ce qu'au moins les incidents majeurs liés aux TIC soient signalés à la direction générale concernée et informent l'organe de direction d'au moins les incidents majeurs liés aux TIC, en expliquant l'impact, la réaction et les contrôles supplémentaires à mettre en place à la suite de ces incidents".5
Une communication efficace et la notification des incidents nécessitent une visibilité sur les actions des attaquants. Non seulement cette visibilité permet une résolution rapide, mais elle peut également vous aider à mettre en place un processus de notification simple et bien défini afin de communiquer rapidement sur les incidents, leurs impacts et votre réponse.
Répondre aux attaques de l'Active Directory
Enfin, le DORA demande aux organisations de "mettre en place des procédures de réponse aux incidents liés aux TIC afin d'atténuer les impacts et de s'assurer que les services deviennent opérationnels et sécurisés dans les meilleurs délais".6
L'automatisation peut accélérer la réponse aux incidents. Par exemple, Semperis DSP peut automatiser le processus de remédiation et prendre des mesures contre les actions malveillantes en rétablissant automatiquement les changements non désirés dans Active Directory et Entra ID jusqu'à ce que vos équipes de TI ou de sécurité puissent les examiner et les approuver. Vous pouvez également créer des alertes personnalisées pour aviser automatiquement le personnel de toute activité suspecte ou dangereuse dans AD et Entra ID.
Bien entendu, il ne suffit pas de documenter votre plan de déclaration pour satisfaire aux exigences du DORA. Vous devez également examiner, tester et former le personnel à vos procédures et outils de déclaration et de communication. Cela permet de garantir la conformité du plan.
Pilier 3 : tests de résilience opérationnelle numérique
Jusqu'à présent, nous avons couvert les composantes de planification, de cartographie et de reporting des piliers du DORA. Il est maintenant temps de tester la résilience. Le DORA stipule que les organisations doivent "maintenir et passer en revue un programme solide et complet de tests de résilience opérationnelle numérique" qui comprend "une série d'évaluations, de tests, de méthodologies, de pratiques et d'outils" et établir "des procédures et des politiques pour hiérarchiser, classer et résoudre tous les problèmes révélés au cours de l'exécution des tests".7
Les tests de résilience sont un élément crucial de la réglementation, car la conformité au DORA exige la preuve que les tests ont été effectués avec succès.
Le problème des tests des scénarios Active Directory
Les tests de résilience prévus par la loi DORA doivent tenir compte de toute une série de perturbations possibles, depuis les cyberattaques sophistiquées visant à violer ou à perturber les systèmes jusqu'aux bévues opérationnelles telles que les suppressions accidentelles de données. Le problème est que les tests de l'Active Directory ne sont pas simples. En outre, la criticité de l'annuaire peut rendre les équipes réticentes à l'idée d'effectuer des tests en direct :
- Si vous désactivez Active Directory, rien d'autre ne fonctionne.
- Les tests de l'Active Directory prennent beaucoup de temps et nécessitent une main-d'œuvre importante.
- Toute erreur comporte un risque élevé de perte de données et d'interruption de l'activité.
Pour ces raisons, de nombreuses organisations préfèrent effectuer des exercices de test sur papier lorsqu'il s'agit d'AD. Toutefois, cette approche n'est pas suffisante pour assurer la conformité avec la loi DORA.
Quels scénarios clés devez-vous tester ?
Chaque scénario d'attaque potentielle de l'Active Directory nécessite une procédure de test différente, en raison des différents niveaux d'accès à la plate-forme au sein des équipes d'intervention. Envisageons les possibilités suivantes :
- Active Directory a disparu. La plateforme est compromise et n'est pas digne de confiance.
- AD est opérationnel mais fait l'objet d'une attaque active. Active Directory n'a pas été crypté, mais une cybermenace ou un logiciel malveillant a pénétré dans le système.
- Une erreur catastrophique s'est produite. Par exemple, une base de données est corrompue, un groupe d'utilisateurs critiques a été supprimé ou certains utilisateurs n'ont plus d'accès.
Pour chacun de ces scénarios, les exercices en temps réel et la mise en œuvre de processus manuels jouent un rôle essentiel dans les tests de résilience.
Par exemple, nous avons récemment effectué un exercice en direct avec un client. Au cours de l'exercice, nous avons constaté que l'organisation aurait besoin de 48 heures pour rétablir le fonctionnement normal d'Active Directory, en utilisant des processus manuels et des sauvegardes historiques. Ce délai dépasse largement la tolérance au risque de la plupart des entreprises.
Simulation et stratégies de réponse
Une bonne solution pour réduire les risques et l'anxiété liés aux tests de reprise après sinistre consiste à créer un environnement de test alternatif dans lequel des scénarios potentiels peuvent être simulés en toute sécurité sans mettre en péril l'infrastructure opérationnelle principale. Cette approche permet une évaluation réaliste des stratégies de préparation et de réponse de l'entité sans exposer les systèmes principaux à des risques.
Pilier 4 : Gestion des risques liés aux TIC pour les tiers
L'avant-dernier pilier met en lumière le risque lié aux tiers fournisseurs de TIC. La DORA stipule que ce risque doit être géré par l'organisation de services financiers, mais que les fournisseurs tiers ont l'obligation contractuelle de soutenir l'entreprise en cas d'incident de cybersécurité. Dans ce cas, les fournisseurs de TIC doivent fournir les informations appropriées et les normes de sécurité les plus élevées possibles pour les services qu'ils fournissent.8
Comment la gestion des risques liés aux tiers affecte-t-elle Active Directory ?
De nombreux utilisateurs tiers, qu'il s'agisse de partenaires externalisés ou de fournisseurs, se voient accorder l'accès aux systèmes d'une organisation via Active Directory. Bien qu'externes, ces utilisateurs apparaissent et fonctionnent dans le système comme des utilisateurs internes légitimes, utilisant des comptes fournis par l'organisation.
Cette pratique, bien qu'essentielle, complexifie la gestion et la sécurisation des accès. Elle augmente l'exposition potentielle aux risques, car les comptes de tiers peuvent être vulnérables à une utilisation abusive ou à des cyberattaques.
Les organisations doivent être prêtes à lutter contre ce risque. Par exemple, grâce à la surveillance continue des modifications de l'environnement et à la détection des attaques basées sur le ML, Semperis peut identifier et atténuer les attaques basées sur l'identité, minimisant ainsi les risques pour les tiers dans Active Directory.
Pilier 5 : échange d'informations
Le dernier pilier de résilience concerne le partage d'informations et demande aux entités financières de définir des stratégies de partage de renseignements sur les menaces et d'échange d'informations en toute sécurité au sein de communautés de confiance.9
Cette pratique est déjà en cours dans de nombreux cas. Par exemple, le National Cyber Security Centre (NCSC) et la Banque d'Angleterre facilitent ces discussions au sein de la communauté des services financiers. Mais en vertu de la loi DORA, les entités financières sont obligées de contribuer à l'amélioration de la sécurité globale de l'industrie.
Partage d'informations sur les incidents et les menaces liés à l'AD
Semperis participe à ces discussions, partageant ses connaissances et ses recherches afin d'éduquer l'industrie à mieux se protéger contre les menaces évolutives et émergentes. Notre équipe de recherche désignée expose régulièrement de nouvelles façons intéressantes pour les attaquants d'abuser d'Active Directory et d'Entra ID. Toutes ces recherches sont intégrées à nos outils communautaires gratuits tels que Purple Knight et Forest Druidce qui signifie que toute organisation peut bénéficier de la puissance de ces informations.
Obtenez une vue d'ensemble de votre configuration AD hybride dès maintenant
L'un des principaux défis de la mise en conformité avec la loi DORA est que le règlement décrit les attentes en matière de conformité, mais ne fournit aucun cadre spécifique sur la manière dont les entreprises peuvent mettre en place ces mesures et, en fin de compte, par où elles doivent commencer.
Travailler sur ces cinq piliers et leurs exigences au sein d'Active Directory est une excellente première étape, à condition d'avoir une bonne visibilité sur votre configuration. Mais comme nous l'avons vu, il est impossible de protéger quelque chose sans avoir une vision suffisante.
Par où commencer ? Téléchargez Purple Knight et Forest Druid pour obtenir une image de l'état de votre configuration Active Directory et des risques potentiels. Vous obtiendrez un plan clair, réalisable et gratuit pour aborder ces domaines et résoudre les problèmes, ce qui vous placera dans la meilleure position pour commencer votre parcours de conformité DORA pour Active Directory.
Télécharger les outils gratuits maintenant
Autres articles de notre série sur le respect de la réglementation DORA
Ressources
1 https://www.digital-operational-resilience-act.com/Article_6.html
2 https://www.digital-operational-resilience-act.com/Article_19.html
3,4,5,6 https://www.digital-operational-resilience-act.com/Article_17.html
7 https://www.digital-operational-resilience-act.com/Article_24.html
8 https://www.digital-operational-resilience-act.com/Article_28.html
9 https://www.digital-operational-resilience-act.com/Article_45.html