Akquinet met en œuvre un concept durable pour l'assurance de l'obligation de déclaration de soupçon
Dans 90 % des entreprises dans le monde, l'Active Directory (AD) constitue l'instance centrale pour la gestion des identités, que ce soit sur site ou dans l'informatique dématérialisée. Il n'est donc pas surprenant que le service d'annuaire soit un outil indispensable pour les cybercriminels. En l'absence de mesures de sécurité adéquates, il existe souvent des outils coûteux qui permettent de compromettre les réseaux. Les problèmes les plus importants ne sont pas résolus, et encore moins si l'utilisateur lui-même utilise des systèmes informatiques en sous-traitance pour d'autres personnes, comme c'est le cas pour Akquinet GmbH. Le principe de base est également que l'on s'intéresse de près à la thématique, même si l'enfant a été touché par les événements.
L'informatique en nuage offre aux entreprises la possibilité de confier le traitement de leurs données à des prestataires de services compétents. Cela leur permet de se doter eux-mêmes d'infrastructures et de les mettre en place, afin de s'appuyer sur leur propre capacité de traitement. D'autre part, les fournisseurs de services d'externalisation doivent garantir un niveau élevé de compétence et de sécurité pour que leurs clients et leurs données soient optimisés.
Akquinet GmbH est un prestataire de services en ligne, qui compte plus de 40 employés et plus de 1 000 collaborateurs qui participent à l'introduction et à la mise en œuvre de systèmes ERP de SAP et Microsoft, au développement individuel de solutions logicielles et à l'hébergement d'applications. Cette entreprise de renommée internationale a son siège à Hambourg et possède une compétence sectorielle de longue date, notamment dans les domaines de la santé, de l'économie sociale, de la construction mécanique et de l'industrie, du secteur de l'immobilier et de la logistique. Les clients satisfont aux normes en vigueur, telles que TÜV IT TSI 4.1 ou EN50600, et cela fait partie de la stratégie de l'entreprise, qui consiste à développer son propre savoir-faire et ses infrastructures à l'aide des technologies les plus modernes.
Der purpurne Ritter
Depuis sa création en 2002, l'Active Directory est utilisé par les entreprises. Il constitue l'élément central de la gestion de l'identité de l'entreprise. Par ailleurs, la mise en place de l'Active Directory chez les clients est également du ressort de l'entreprise. Les outils d'administration de l'Active Directory ne se limitent pas à la mise en œuvre rapide et fiable, mais ils fournissent en permanence des informations sur les nouveaux développements. C'est ainsi qu'ils se sont aperçus eux-mêmes que l'apparition d'attaques sur l'AD, comme par exemple les attaques du Golden-Ticket, ne s'est pas vérifiée, ce qui s'est produit depuis la mise au point des outils d'imitation de type "quelloffen". "Avec notre solution, nous sommes restés longtemps sur la bonne voie", explique Björn Skutsch (administrateur système principal), "mais nous avons compris que les attaques étaient de longue durée et qu'un certain nombre de clients avaient été trahis. Il s'agissait d'un moyen de s'assurer que le système de protection optimal du service de vérification soit respecté. "Nous avons rapidement compris qu'une attaque réussie n'aurait pas seulement des répercussions sur nous-mêmes, mais aussi sur la continuité des activités de nos clients. Naturellement, nous avons déjà établi toutes les meilleures pratiques et tous les règlements pour les processus de travail, mais comment se situe leur efficacité dans la pratique ?
La recherche de M. Skutsch a abouti à Purple Knight , un outil communautaire développé par Semperis, qui permet d'analyser les configurations d'Active-Directory sur les schémas et les défauts de configuration à l'intérieur. Il fournit des indications sur la conformité et la compromission possible de l'AD, ainsi que des conseils pour résoudre d'éventuels problèmes. Le site Purple Knight présente les configurations et les politiques et propose une série de tests non invasifs contre les attaques les plus importantes et les plus réussies, qui peuvent être corrigées par des cadres de sécurité connus tels que le MITRE ATT&CK. Le score technique durable des utilisateurs, qui ont installé Purple Knight de façon permanente pour l'évaluation de la sécurité, est de 68 %. Pour la plupart des entreprises, il s'agit là d'un point de départ qui leur permet d'améliorer leur score de satisfaction. C'est également le cas pour Akquinet.
"Le fait qu'une attaque n'ait pas à être considérée comme légitime et qu'elle puisse être résolue rapidement est un avantage qui se situe en haut de la liste", a déclaré M. Skutsch. "Mais même après une telle crise, la gestion de la continuité des activités doit être en mesure d'assurer le bon déroulement des opérations du trimestre. L'importance de l'exécution de l'appel d'offres, la transparence et la grande taille de l'agglomération d'AD ont permis à Akquinet de s'affranchir de ces exigences. Aussi, M. Skutsch et son équipe ont-ils décidé de réaliser une démonstration de concept pour l'introduction de Semperis Active Directory Forest Recovery (ADFR). Semperis ADFR offre trois fonctions de base : Il améliore la planification de la collecte des données sur les déchets, y compris l'établissement d'une liste de produits AD, il permet d'automatiser le processus de collecte des données dans son ensemble et il renforce la prévention contre les logiciels malveillants. Semperis a donc intégré l'Active Directory dans le système d'entreprise en question. Les entreprises sont ainsi en mesure de réduire les délais d'attente de près de 90 %.
Des connaissances approfondies, des données considérables
Le PoC a donné des résultats positifs. C'est la raison pour laquelle l'évaluation a été jugée positive pour l'utilisation en production. La présentation a eu lieu à une date précise. "Les solutions proposées étaient très difficiles à mettre en œuvre, car mes collègues très compétents devaient les utiliser. D'énormes quantités de données ont également été perdues. La mise en place de l'application a pris beaucoup de temps, ce qui n'a pas empêché l'installation de ADFR ." Tous les contrôleurs de domaine choisis ont une capacité de 40 Go par contrôleur de domaine, ce qui, après l'introduction, correspond à 700 Mo par contrôleur de domaine. Cela permet de gérer les systèmes de manière non compliquée et de procéder régulièrement à des reprises après sinistre. Ces mesures garantissent un traitement rapide et efficace en cas de sinistre.
Ces expériences positives ont conduit à la décision d'utiliser le site ADFR ainsi que le site Directory Services Protector (DSP) de Semperis. La plateforme ITDR pour Identity Threat Detection and Response (ITDR) permet d'identifier et de réagir à des environnements AD hybrides. Les experts estiment que 9 cyberattaques sur 10 contre les entreprises concernent l'Active Directory, car elles entraînent des configurations erronées en cours de route et donc des failles de sécurité que les auteurs de l'attaque ne manquent pas d'observer. Le site Directory Services Protector examine en permanence l'ensemble de l'utilisation des AD, donne un aperçu de la situation actuelle en matière de sécurité et permet d'attendre que les modifications volontaires ou imprévues apportées par les différents règlements à la suite de leur mise en œuvre soient corrigées. "DSP hat uns die Unsicherheit dahingehend genommen, dass ggf. ungewollte vorgenommene Manipulationen durch die Regeln sofort zurückgesetzt wurden", erklärt Herr Skutsch. "Nous disposons, grâce à DSP , d'un moniteur de sécurité sur l'ensemble de l'Active Directory, ainsi que sur certains domaines tels que les objets de politique de groupe, les DNS ou les utilisateurs et les groupes. Ainsi, toutes les activités seront transparentes et pourront être exécutées de manière transparente et sans interruption et, par la suite, elles seront automatiquement rétablies".
En principe, Semperis DSP est une sorte de pilote automatique pour la surveillance continue de la sécurité, l'émission d'avertissements en cas d'incident et la gestion autonome des incidents. DSP dispose de plusieurs bases de données et de tableaux de bord performants qui permettent d'analyser les données d'incidents, les indicateurs de sécurité et les événements liés aux réglementations en matière de sécurité. Les administrateurs sont ainsi aidés de manière optimale à éviter les manquements potentiels à la sécurité.
Alors que de nombreuses entreprises n'ont pas encore opté pour des solutions basées sur l'informatique en nuage, il est encore plus difficile d'empêcher l'utilisation de l'Active Directory par les cybercriminels. Dans un environnement hybride, le risque d'attaques potentielles augmente considérablement. C'est pourquoi Akquinet s'est efforcé d'améliorer la protection AD contre l'externalisation dans le nuage. La protection hybride de l'Active Directory des spécialistes de la sécurité de l'AD a également été installée.
La sécurité en perspective
Les systèmes de détection et de lutte contre les cyber-attaques sont naturellement très difficiles à analyser sur le plan des coûts et des bénéfices. En outre, il n'est pas possible de déterminer avec précision quelles sont les entreprises qui ont été touchées par leur utilisation et à quelle hauteur. Les délais pour les déclenchements manuels d'alarmes, pour les sauvegardes permanentes ou pour les audits de sécurité ne sont pas non plus négligeables. L'installation des différents produits Semperis AD pour Akquinet est-elle prévue ?
"Notre concept BCM de base a déjà été largement éprouvé, mais avec l'utilisation des nouveaux outils, nous ne pourrons jamais l'appliquer avec toute la sagesse voulue", a déclaré Björn Skutsch. Mais je me réjouis aujourd'hui de constater que nous avons un peu de temps devant nous pour procéder à une mise à jour complète de l'Active Directory". Les tests ont montré qu'en moins de deux heures, notre AD est doté d'une infrastructure entièrement nouvelle, et notamment de tous les contrôleurs, sans erreur et sans délai". Il s'agit d'un objectif qui, manuellement, n'est pas encore réalisable.
Ainsi, les expériences antérieures avec ADFR et DSP ont non seulement permis d'améliorer l'état de la sécurité par rapport à l'Active Directory, mais aussi de minimiser les obstacles manuels et d'accroître la transparence. Akquinet s'efforce donc, sur la base des solutions Semperis, non seulement d'optimiser sa propre infrastructure, mais aussi d'offrir à ses clients d'autres services.