| sécurité opérationnelle
Sécurisez vos infrastructures AD et Microsoft avec Camille
Camille Joudrier, consultante Sécurité Opérationnelle, revient pour vous sur la nécessité de sécuriser vos infrastructures AD et Microsoft 365 🔍
Pourquoi avoir choisi de faire carrière en cybersécurité ? Comment as-tu découvert Synetis ?
J’ai suivi des études en informatique, où j‘ai pu aborder divers aspects du domaine. C’est lors de ces études que j’ai découvert la cybersécurité, une thématique qui a particulièrement retenu mon intérêt de part son aspect très concret et son côté indispensable aujourd’hui.
Puis, j’ai intégré Synetis, au mois d’avril 2022, grâce à un camarade de promotion. Étant à la recherche d’un stage de fin d’études, celui-ci m’a dirigé vers Synetis.
Mon expérience fut très enrichissante. J’ai eu l’opportunité de travailler sur des cas concrets avec des clients divers et variés. J’ai également, rapidement, été impliquée sur des projets pertinents avec notamment la revue de configuration et la compréhension des modules de sécurité d’Active Directory. Mon apprentissage a été constant, et c’est tout naturellement que j’ai décidé de poursuivre cette aventure en CDI.
sécurisez votre active directory
Nos experts Sécurité Opérationnelle répondent à vos questions
Quel est ton quotidien en tant que consultante Sécurité Opérationnelle ? Comment accompagnes-tu tes clients dans la sécurisation de leurs infrastructures AD et M365 ?
Je guide mes clients dans la mise en œuvre de solutions de sécurité, notamment en renforçant la sécurité de l’Active Directory (Harden AD) et en déployant un modèle de Tiering.
Historiquement le modèle de base de Tiering recommandé par Microsoft, comprend le tier 0 qui englobe les ressources critiques à protéger à tout prix. Tout accès non autorisé à ce niveau représente un risque majeur.
Le tier 1 concerne, lui, les serveurs et applications métiers ; tandis que le tier 2 englobe les comptes utilisateurs standards.
Chez Synetis, nous ajoutons deux niveaux supplémentaires : le tier 1 legacy et le tier 2 legacy. Nous savons que les serveurs plus anciens, tels que les Windows Server 2008 ou Windows 7, nécessitent une approche différente car ces derniers ne sont plus supportés par Microsoft. Nous mettons donc en place des systèmes de sécurité dédiés, adaptés aux protocoles spécifiques, créant ainsi une bulle de protection.
Un défi majeur pour mes clients est de composer avec des infrastructures existantes, vieilles de 15 à 20 ans, et qui ne respectent pas l’ensemble des bonnes pratiques de sécurité. Mon rôle est donc également de former et sensibiliser mes clients à la nécessité de sécuriser l’Active Directory. Il arrive que les équipes d’administration ne soient pas toujours conscientes de cette problématique. Nous intervenons donc en effectuant des formations, des démonstrations d’attaques (kill chain), et en mettant en place le modèle de Tiering pour renforcer leur sécurité.
Je travaille aussi sur la partie Microsoft 365. De nombreux clients possèdent des environnements de travail hybrides c’est-à-dire qu’ils disposent d’un annuaire Active Directory ainsi que d’un annuaire Microsoft Entra ID. Un exemple concret concerne la sécurisation du tenant Microsoft 365. Pour cela je réalise une revue de paramètres spécifiques sur le tenant, des droits des utilisateurs, et de l’utilisation des règles d’accès conditionnels, ces dernières nécessitent un abonnement Microsoft Entra ID Premium P1 pour chaque utilisateur. Ce qui permet de restreindre l’accès en fonction de conditions spécifiques, renforçant ainsi la sécurité de tout l’environnement.
Un abonnement Microsoft Entra ID Premium P2 est nécessaire pour Microsoft Privileged Identity Management (PIM), cette solution permet la gestion des droits d’accès et des rôles Microsoft Entra ID.
Enfin, j’effectue également les tâches de :
- Cheffe de Projet ;
- Animation du partenariat technique pour les solutions SentinelOne ;
- Conception des plannings de l’équipe et affectation des personnes sur les projets ;
- Rédaction des offres techniques et commerciales (avant-vente).
C’est passionnant, mais tout ceci me demande une organisation interne rigoureuse.
Quels sont les principaux défis auxquels les entreprises sont confrontées en matière de sécurité de leur Active Directory aujourd'hui ?
La nécessité de renforcer sa sécurité est primordiale, sachant que 42 % des attaques visant l’Active Directory sont réussies. Les attaques passent fréquemment par l’AD, ce qui en fait une cible incontournable dans les cyberattaques actuelles.
Plusieurs facteurs entrent en jeu, notamment des systèmes vieillissants, la complexité de modifier les habitudes des administrateurs et de l’équipe IT, ainsi que la nécessité récente de renforcer la sécurité. Un accompagnement est donc essentiel. Cette transition nécessite un investissement en termes de connaissances, et un coût humain significatif.
La mise en place d’un modèle de Tiering est cruciale mais, seul, cela ne suffit pas. Il est impératif de surveiller les comportements indésirables de l’AD, en prêtant attention aux pratiques risquées qui peuvent ne pas être immédiatement visibles. Des outils de sécurité supplémentaires, tels que Ranger AD (solution proposée par notre partenaire Sentinel One), sont nécessaires pour établir un état de santé de l’AD – même si le modèle de Tiering peut ralentir un attaquant, il ne garantit pas une sécurité totale.
Chez Synetis, nous vous proposons un service de sécurisation de votre AD 100% managé. Cela passe par le monitoring des outils et des réponses en cas d’alertes. Enfin, nous procédons également à un audit récurrent de la configuration AD et la remédiation. L’objectif étant que cette équipe dédiée s’occupe de gérer les alertes remontées par les outils (remédiation, mise en exception des faux positifs). Nous prenons également contact avec le client en cas de besoin.
Depuis la phase d’intégration des solutions, et durant toute la durée de vie du projet, nous accompagnons nos clients dans l’exploitation de celles-ci et les conseillons sur les évolutions à apporter – qu’elles soient techniques ou stratégiques.
Pour toi, quel est le top 3 des conseils à donner à une entreprise pour sécuriser efficacement son écosystème Microsoft ?
Voici quelques conseils que je donnerai à une entreprise pour sécuriser efficacement son écosystème Microsoft :
- Mettez en place un modèle de Tiering au niveau de votre Active Directory. Ceci est aujourd’hui indispensable.
- Sécurisez votre serveur Microsoft Entra ID Connect (anciennement connu sous le nom d’Azure AD Connect) qui assure la synchronisation entre les deux annuaires. Un administrateur local de cette machine peut prendre en quelques minutes le contrôle de votre annuaire AD et de votre tenant Microsoft 365. Cette machine doit donc être basculée en Tier 0 !
- La sécurisation de votre Tenant M365 est également cruciale. Cela implique la réalisation d’une revue des configurations et des droits des utilisateurs, avec une mise en avant des outils de sécurité – tels que le Privileged Identity Management (PIM) pour une gestion optimale des droits.
- Parallèlement, la mise en place d’outils de sécurisation externe pour l’Active Directory est recommandée. Les solutions comme Crowdstrike Falcon Identity, Microsoft Defender for Identity, Semperis DSP, Sentinel One Ranger AD Protect ou Tenable AD permettent de détecter les attaques liées à l’identité (Golden Ticket, Brute force, DCSync). L’utilisation de ces outils permet donc aux entreprises de mettre en place les réactions nécessaires en cas d’alerte.
En ce début de 2024, qu’est-ce qui t’as le plus surpris, en 2023, en matière de cybersécurité ?
En ce début d’année de 2024, je remarque que certains de mes clients commencent à migrer vers une architecture SaaS complète et ont décidé de se passer de l’Active Directory (AD). Dans l’ensemble, cette transition se déroule bien, mais un obstacle majeur se présente : la gestion des certificats de clés publiques (PKI) car la PKI Microsoft Cloud n’est pas encore disponible (en preview actuellement).
Pourquoi ce changement est-il observé ?
Microsoft ne développe plus de nouvelles fonctionnalités sur ses outils on-premise. La migration vers les environnements hybrides et à termes vers des environnements entièrement SaaS semble donc inévitable.
En parallèle Microsoft relance tout de même son modèle de tiering. Vous pouvez en savoir plus à travers cet article.
Camille Jean-Baptiste
Chargée de Communication