Pour nombre d’entre-elles, le point d’entrée d’une attaque a pour cible le poste de travail, de manière à permettre à l’attaquant, d’exploiter l’ensemble des faiblesses du système d’information pour opérer des déplacements, dits « latéraux », et élever progressivement ses privilèges jusqu’à obtenir le contrôle total de l'annuaire Microsoft Active Directory. A partir de là, c'est l'ensemble du système d’information, les processus et les données métiers de l'organisation que l'attaquant peut contrôler.
Pour limiter ces risques de compromissions, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a publié le guide PA-099 () « Recommandations pour l’administration sécurisée des systèmes d’information reposant sur Microsoft Active Directory ». Il a pour objectif principal de proposer des conseils et recommandations pour la mise en œuvre d’un cloisonnement logique des annuaires Active Directory ainsi que pour la conception d’une architecture d’administration adaptée à l’état de la menace :
- Il aborde les aspects spécifiques à l’administration de ces environnements ;
- Il guide dans le cloisonnement du SI en zones de confiance ;
- Il complète le guide PA-022 () « Recommandations de sécurité relatives à l'administration sécurisée des systèmes d'information », recommandations qui se veulent agnostiques des technologies mises en œuvre.
Les observations de l’ANSSI font également apparaître un manque de maturité critique et récurrent sur la sécurité des annuaires Active Directory. Le niveau de sécurité décroît de manière importante en fonction du temps et au rythme de la manipulation de ses objets ou des actions d’administration. En réponse à ce risque croissant, l’ANSSI a développé et met à disposition un recueil de points de contrôle, afin d’accompagner les chaines DSI et SSI dans le suivi du niveau de sécurité des annuaires Active Directory. Ce recueil a vocation à être enrichi régulièrement en fonction des travaux de recherche, des pratiques constatées en audit, et de l’analyse des modes opératoires adverses.
Pour gérer la sécurité et la traçabilité des comptes à privilèges dans ce type d'environnement, il faut pouvoir y intégrer une solution PAM (Privileged Access Management), 100% compatible avec ce modèle sécurisé par cloisonnement logique (voir ce billet).
Des solutions telles que « Systancia Cleanroom » ou « cyberelements.io » répondent à ce besoin, car aucun compromis de sécurité n’est nécessaire pour garantir l’étanchéité entre les différentes zones de confiance.
Par
Francis MILLOT