| Interview
Sécuriser efficacement son Active Directory ou Azure AD
Interview de Guillaume Mathieu, Responsable du Pôle Sécurité de l’écosystème Microsoft
chez Synetis, et Massimo Montalto, EMEA Channel Solutions Architect chez SentinelOne
Comment vois-tu l'évolution des annuaires Microsoft au sein d’une entreprise ?
[Guillaume]
Microsoft propose aujourd’hui deux annuaires :
- Active Directory : annuaire historique de Microsoft sorti en 1999 ;
- Azure Active Directory : annuaire et fournisseur d’identité (IDP) en mode SaaS de Microsoft.
Les utilisateurs utilisent aujourd’hui leur adresse email comme login AD et Azure AD. Avec Azure AD Kerberos Service et Windows Hello for Business, ils ne saisiront plus de mot de passe. Ils utiliseront une application sur leur téléphone mobile professionnel ou une clé de sécurité pour s’authentifier à la fois sur Active Directory et Azure Active Directory.
Les applications supportant uniquement les protocoles LDAP, NTLM, Kerberos continueront à utiliser l’annuaire Active Directory, comme annuaire d’authentification.
Les applications supportant les protocoles d’authentification modernes – comme SAML V2 et Open ID Connect (applications SaaS) – s’appuieront, elles, sur l’annuaire Azure Active Directory (ou une autre solution de fédération d’identité).
Pourquoi est-ce si difficile et si urgent - à date - pour une entreprise de sécuriser son AD ?
[Guillaume]
La technologie Active Directory a plus de 20 ans. Lorsqu’ Active Directory a été conçu, les enjeux liés à la cybersécurité n’étaient pas aussi présents. L’annuaire AD a été conçu à la fois pour :
- Authentifier les ressources du domaine (comptes utilisateurs et comptes ordinateurs) ;
- Permettre à un seul utilisateur d’être administrateur de toutes les machines du domaine ;
- Gérer les machines membres du domaine de manière centralisée via la stratégie de groupes (GPO).
Cette triple fonction est à l’origine des difficultés à sécuriser un annuaire Active Directory.
De plus, l’administration des autres éléments du Système d’Information (SI) – tels que la messagerie, l’environnement de virtualisation ou encore la sauvegarde – se fait souvent avec des comptes utilisateurs du domaine Active Directory.
De ce fait, la compromission d’un Active Directory permet généralement à un attaquant de prendre le contrôle d’autres éléments du SI – comme l’environnement de virtualisation ou la solution de sauvegarde. Un risque à éviter pour toutes les entreprises et organisations !
La sécurisation de l’infrastructure Microsoft, notamment l’AD, chez Synetis, est l’un des piliers de notre activité, pourrais-tu en dire plus sur notre expertise ?
[Guillaume]
Synetis propose une offre à 360° pour sécuriser les annuaires Active Directory :
- La réalisation d’un diagnostic de sécurité du SI : nous nous appuyons sur des solutions comme SentinelOne Ranger AD et des scripts PowerShell développés par Synetis ;
- La gestion du cycle de vie des identités : Synetis implémente des solutions d’IGA comme SailPoint pour provisionner, et provisionner automatiquement, les comptes utilisateurs Active Directory. Tous les comptes de vos anciens employés sont alors désactivés automatiquement !
- Le déploiement d’un modèle de sécurité Active Directory : ce dernier s’appuie sur un projet communautaire et Open Source. Il permet de segmenter l’annuaire en Tiers et de forcer l’application des bonnes pratiques de sécurité à l’aide de 80 GPO de sécurité. Il s’intègre parfaitement avec les outils SentinelOne Ranger AD et Ranger AD Protect ;
- Une procédure de PRI Active Directory : cette dernière prend en charge les principaux scénarios de compromission comme la perte de tous les contrôleurs de domaine, la suppression accidentelle d’une unité d’organisation ou une cyberattaque. Synetis a développé un outil appelé ONR AD qui permet de supprimer les traces laissées par un attaquant lorsqu’un annuaire AD a été intégralement compromis ;
- Un service managé pour superviser en temps réel le niveau de sécurité de votre annuaire Active Directory : Synetis s’appuie pour cela sur les outils de détection d’attaque AD SentinelOne Singularity Ranger AD Protect et SentinelOne Singularity Identity Plus. Ces deux solutions s’interfacent parfaitement avec le SOC by Synetis, et nous permettent de déclencher des interventions 24/7/365 en cas de détection d’un incident de sécurité ;
- La prise en charge des incidents de sécurité AD : notre équipe Computer Emergency Response Team (CERT) vous accompagne pour retrouver le patient 0, détecter les portes dérobées laissées par un cyberattaquant, reconstituer la séquence d’attaques ou encore déterminer les indicateurs de compromission (IOC) ;
- La réalisation de tests d’intrusion ou d’audit SSI (document opposable) : notre équipe d’auditeurs vous accompagnent pour évaluer le niveau de sécurité de votre AD (méthodologie opposable pour un contrat d’assurance par exemple) ou détecter les chemins d’attaques potentiels via la réalisation d’un test d’intrusion.
Que représente le partenariat avec Sentinel One pour Synetis ?
[Guillaume]
SentinelOne est un partenaire majeur de Synetis. Nous intégrons les solutions SentinelOne EDR depuis plusieurs années – pour sécuriser les serveurs et les postes de travail de nos clients.
Nous utilisons aussi les outils SentinelOne dans le cadre de nos missions de réponse à incidents de sécurité, afin de trouver les indicateurs de compromission et les chemins d’attaques.
L’intégration des outils Attivo, dans l’offre SentinelOne, est pour nous une formidable opportunité car elle nous permet de traiter le déploiement de la brique de détection d’attaque AD, et de non-conformité AD, tant pour nos clients existants que pour nos futurs clients.
Qu’est-ce que l’offre Ranger AD de Sentinel One ?
[Massimo]
Active Directory et Azure AD sont fréquemment la cible de cyberattaques visant les identités ; en fait 84 % des entreprises ont été victimes d’une compromission liée aux identités. Leur compromission permet aux attaquants de se positionner dans l’environnement de l’entreprise de manière à élargir leurs accès, s’implanter de façon persistante, élever leurs privilèges, identifier d’autres cibles et se déplacer latéralement.
SentinelOne Singularity Ranger AD est une solution d’évaluation de la configuration des identités en continue. Composant de la plateforme Singularity XDR, elle identifie les vulnérabilités et les problèmes de configuration d’Active Directory (AD) et d’Azure AD, ainsi que les menaces actives qui ciblent ces annuaires. Ranger AD fournit des informations prédictives et exploitables sur l’exposition des identités au sein de votre organisation, et vous aide ainsi à réduire le risque de compromission – et à mettre vos ressources en conformité avec les bonnes pratiques de sécurité.
Pourrais-tu nous en dire plus sur le partenariat technologique Harden / Ranger AD ? En quoi est-ce un différenciant sur le marché ?
[Massimo]
Harden AD et Ranger AD présentent une complémentarité très forte qui permet à nos clients communs :
- D’une part, de construire une infrastructure Microsoft AD en accord avec les bonnes pratiques de sécurisation d’un annuaire AD ;
- Et, d’autre part, de monitorer – à intervalles réguliers – l’évolution du risque associé à la configuration actuelle de l’infrastructure Microsoft AD, et de proposer ainsi, pour chaque détection d’exposition au risque, une liste d’actions de mitigation de façon automatisée.
En général, l’infrastructure Active Directory évolue en permanence pour répondre aux besoins des entreprises en matière de gestion des identités et des accès. Le risque associé évolue lui aussi en permanence. Il s’avère donc primordial d’être en capacité d’identifier les éventuelles introductions de risques, et de pouvoir les minimiser au plus tôt.
Harden AD d’un côté, pour une implémentation selon les best practices, et Ranger AD de l’autre côté, pour réduire les risques tout au long du cycle de vie de l’infrastructure AD, présentent donc une complémentarité très forte en matière de sécurisation de l’annuaire AD.
Qu’apportent les experts Synetis à la technologie Sentinel One ?
[Massimo]